[SCADA] Multiples vulnérabilités dans les produits Siemens

Risque(s)

Exécution de code arbitraire à distance
Déni de service à distance
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Élévation de privilèges

Systèmes affectés

SCALANCE X-200RNA versions antérieures à V3.2.6
SIMATIC Ident MV420
SIMATIC Ident MV440
SIEMENS LOGO!8 versions antérieures à V1.82.02
SCALANCE X-200 versions antérieures à V5.2.4
SCALANCE X-200IRT
SCALANCE X-300
SCALANCE X-414-3E
Siveillance VMS 2017 R2 versions antérieures à V11.2a
Siveillance VMS 2018 R1 versions antérieures à V12.1a
Siveillance VMS 2018 R2 versions antérieures à V12.2a
Siveillance VMS 2018 R3 versions antérieures à V12.3a
Siveillance VMS 2019 R1 versions antérieures à V13.1a

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Siemens ssa-181018 du 11 juin 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-181018.pdf
Bulletin de sécurité Siemens ssa-816980 du 11 juin 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-816980.pdf
Bulletin de sécurité Siemens ssa-774850 du 11 juin 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-774850.pdf
Bulletin de sécurité Siemens ssa-646841 du 11 juin 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-646841.pdf
Bulletin de sécurité Siemens ssa-212009 du 11 juin 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-212009.pdf
Référence CVE CVE-2018-4833
https://www.cve.org/CVERecord?id=CVE-2018-4833
Référence CVE CVE-2019-10925
https://www.cve.org/CVERecord?id=CVE-2019-10925
Référence CVE CVE-2019-10926
https://www.cve.org/CVERecord?id=CVE-2019-10926
Référence CVE CVE-2019-6571
https://www.cve.org/CVERecord?id=CVE-2019-6571
Référence CVE CVE-2019-6584
https://www.cve.org/CVERecord?id=CVE-2019-6584
Référence CVE CVE-2019-6567
https://www.cve.org/CVERecord?id=CVE-2019-6567
Référence CVE CVE-2019-6580
https://www.cve.org/CVERecord?id=CVE-2019-6580
Référence CVE CVE-2019-6581
https://www.cve.org/CVERecord?id=CVE-2019-6581
Référence CVE CVE-2019-6582
https://www.cve.org/CVERecord?id=CVE-2019-6582

Référence	CERTFR-2019-AVI-256
Titre	[SCADA] Multiples vulnérabilités dans les produits Siemens
Date de la première version	11 juin 2019
Date de la dernière version	11 juin 2019
Source(s)	Bulletin de sécurité Siemens ssa-181018 du 11 juin 2019 Bulletin de sécurité Siemens ssa-816980 du 11 juin 2019 Bulletin de sécurité Siemens ssa-774850 du 11 juin 2019 Bulletin de sécurité Siemens ssa-646841 du 11 juin 2019 Bulletin de sécurité Siemens ssa-212009 du 11 juin 2019
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: [SCADA] Multiples vulnérabilités dans les produits Siemens

Gestion du document

Risque(s)

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document