Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
- Élévation de privilèges
Systèmes affectés
- CP 1243-1 tous types et variante SIPLUS versions antérieures à 3.1
- CP 1542SP-1 et 1543SP-1 variante SIPLUS versions antérieures à 1.0.15
- CP 1543-1 variante SIPLUS versions antérieures à 2.1
- CP 343-1 Advanced variante SIPLUS versions antérieures à 3.0.44
- CP 343-1 tous types et variante SIPLUS toutes versions versions antérieures à 3.1.1
- CP 443-1 tous types et variante SIPLUS toutes versions versions antérieures à 3.2.9 3.2.17
- IE/PB-Link variante SIPLUS versions antérieures à 3.0
- IM 3V-IE / TIM 3V-IE Advanced variante SIPLUS versions antérieures à 2.6.0
- LOGO!8 BM variante SIPLUS toutes versions
- SCALANCE X-200 variante SIPLUS versions antérieures à 5.2.2
- SCALANCE X-200IRT variante SIPLUS versions antérieures à 5.4.0
- SCALANCE X-300 variante SIPLUS versions antérieures à 4.1.2
- SCALANCE X414 variante SIPLUS versions antérieures à 3.10.2
- SIMATIC ET200M variante SIPLUS toutes versions
- SIMATIC ET200MP variante SIPLUS versions antérieures à 4.2
- SIMATIC ET200pro et ET200S variante SIPLUS toutes versions
- SIMATIC ET200SP Open Controller variante SIPLUS versions antérieures à 2.6 et 4.2
- SIMATIC HMI Basic Panels 2nd Generation, Comfort 15-22, Comfort 4-12, Comfort Pro Panels variante SIPLUS versions antérieures à V14 SP1 Upd 6 et V15.1 Upd 1
- SIMATIC IPC427D et IPC427E variante SIPLUS BIOS versions antérieures à V17.0x.14 et V21.01.18
- SIMATIC PN/PN Coupler variante SIPLUS versions antérieures à 4.2.0
- SIMATIC S7-1200 CPU variante SIPLUS versions antérieures à 4.1.3 4.3
- SIMATIC S7-1500 CPU variante SIPLUS versions antérieures à 2.5 2.6
- SIMATIC S7-300 CPU avec support PROFINET variante SIPLUS versions antérieures à 3.X.16
- SIMATIC S7-300 CPU sans support PROFINET variante SIPLUS versions antérieures à 3.X.16
- SIMATIC S7-400 tous types en variante SIPLUS toutes versions
- SIMATIC S7-410 CPU variante SIPLUS variante SIPLUS versions antérieures à 8.2.1
- SIMOCODE pro V EIP variante SIPLUS versions antérieures à 1.0.2
- SIMOCODE pro V PN variante SIPLUS versions antérieures à 2.1.1
- SIMOTION variante SIPLUS versions antérieures à 5.1 HF1
- SINAMICS G120(C/P/D) avec PN variante SIPLUS versions antérieures à 4.7 SP9 HF1
- SINAMICS S120 variante SIPLUS versions antérieures à 4.7 HF29, 4.8 HF5 et 5.1 SP1
- SITOP UPS1600 PROFINET variante SIPLUS versions antérieures à 2.2.0
- TIM 1531 IRC variante SIPLUS versions antérieures à 2.0
- TIM 3V-IE DNP3 variante SIPLUS versions antérieures à 3.1.0
- TIM 4R-IE DNP3 variante SIPLUS versions antérieures à 3.1.0
- TIM 4R-IE variante SIPLUS versions antérieures à 2.6.0
Résumé
Cet avis concerne une mise à jour en date du 10 février 2020 de 58 avis Siemens (cf. section documentation). Les avis Siemens listent désormais les variantes SIPLUS parmi les systèmes affectés.
De multiples vulnérabilités ont été découvertes dans les produits Siemens de variante SIPLUS. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
Solution
[Important] Certains avis étant anciens et étant donné le nombre de vulnérabilités traitées par les bulletins, le CERT-FR recommande de déterminer la version applicable pour chaque configuration et d'appliquer les mesures de protection établies par l'éditeur dans la section "workarounds and migitations" des bulletins de sécurité (cf. section Documentation).
Documentation
- Avis CERTFR-2014-AVI-126 https://www.cert.ssi.gouv.fr/avis/CERTFR-2014-AVI-126/
- Avis CERTFR-2014-AVI-137 https://www.cert.ssi.gouv.fr/avis/CERTFR-2014-AVI-137/
- Avis CERTFR-2015-AVI-090 https://www.cert.ssi.gouv.fr/avis/CERTFR-2015-AVI-090/
- Avis CERTFR-2015-AVI-364 https://www.cert.ssi.gouv.fr/avis/CERTFR-2015-AVI-364/
- Avis CERTFR-2016-AVI-062 https://www.cert.ssi.gouv.fr/avis/CERTFR-2016-AVI-062/
- Avis CERTFR-2016-AVI-196 https://www.cert.ssi.gouv.fr/avis/CERTFR-2016-AVI-196/
- Avis CERTFR-2016-AVI-384 https://www.cert.ssi.gouv.fr/avis/CERTFR-2016-AVI-384/
- Avis CERTFR-2017-AVI-140 https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-140/
- Avis CERTFR-2017-AVI-428 https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-428/
- Avis CERTFR-2018-AVI-235 https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-235/
- Avis CERTFR-2018-AVI-429 https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-429/
- Avis CERTFR-2018-AVI-543 https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-543/
- Avis CERTFR-2019-AVI-004 https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-004/
- Bulletin de sécurité Siemens ssa-087240 du 30 août 2017 https://cert-portal.siemens.com/productcert/pdf/ssa-087240.pdf
- Bulletin de sécurité Siemens ssa-100232 du 13 août 2019 https://cert-portal.siemens.com/productcert/pdf/ssa-100232.pdf
- Bulletin de sécurité Siemens ssa-110922 du 27 mars 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-110922.pdf
- Bulletin de sécurité Siemens ssa-113131 du 13 novembre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-113131.pdf
- Bulletin de sécurité Siemens ssa-130874 du 05 avril 2012 https://cert-portal.siemens.com/productcert/pdf/ssa-130874.pdf
- Bulletin de sécurité Siemens ssa-134003 du 27 août 2015 https://cert-portal.siemens.com/productcert/pdf/ssa-134003.pdf
- Bulletin de sécurité Siemens ssa-141614 du 09 avril 2019 https://cert-portal.siemens.com/productcert/pdf/ssa-141614.pdf
- Bulletin de sécurité Siemens ssa-168644 du 22 février 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-168644.pdf
- Bulletin de sécurité Siemens ssa-176087 du 01 octobre 2013 https://cert-portal.siemens.com/productcert/pdf/ssa-176087.pdf
- Bulletin de sécurité Siemens ssa-179516 du 07 août 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-179516.pdf
- Bulletin de sécurité Siemens ssa-180635 du 08 janvier 2019 https://cert-portal.siemens.com/productcert/pdf/ssa-180635.pdf
- Bulletin de sécurité Siemens ssa-233109 du 13 novembre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-233109.pdf
- Bulletin de sécurité Siemens ssa-234763 du 17 juillet 2014 https://cert-portal.siemens.com/productcert/pdf/ssa-234763.pdf
- Bulletin de sécurité Siemens ssa-240718 du 13 septembre 2012 https://cert-portal.siemens.com/productcert/pdf/ssa-240718.pdf
- Bulletin de sécurité Siemens ssa-253230 du 08 février 2016 https://cert-portal.siemens.com/productcert/pdf/ssa-253230.pdf
- Bulletin de sécurité Siemens ssa-254686 du 09 octobre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-254686.pdf
- Bulletin de sécurité Siemens ssa-268644 du 09 septembre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-268644.pdf
- Bulletin de sécurité Siemens ssa-279823 du 08 octobre 2012 https://cert-portal.siemens.com/productcert/pdf/ssa-279823.pdf
- Bulletin de sécurité Siemens ssa-293562 du 08 mai 2017 https://cert-portal.siemens.com/productcert/pdf/ssa-293562.pdf
- Bulletin de sécurité Siemens ssa-306710 du 08 janvier 2019 https://cert-portal.siemens.com/productcert/pdf/ssa-306710.pdf
- Bulletin de sécurité Siemens ssa-310688 du 14 août 2014 https://cert-portal.siemens.com/productcert/pdf/ssa-310688.pdf
- Bulletin de sécurité Siemens ssa-321046 du 19 janvier 2015 https://cert-portal.siemens.com/productcert/pdf/ssa-321046.pdf
- Bulletin de sécurité Siemens ssa-346262 du 23 novembre 2017 https://cert-portal.siemens.com/productcert/pdf/ssa-346262.pdf
- Bulletin de sécurité Siemens ssa-347726 du 09 octobre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-347726.pdf
- Bulletin de sécurité Siemens ssa-377318 du 12 février 2019 https://cert-portal.siemens.com/productcert/pdf/ssa-377318.pdf
- Bulletin de sécurité Siemens ssa-447396 du 11 septembre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-447396.pdf
- Bulletin de sécurité Siemens ssa-456423 du 12 mars 2014 https://cert-portal.siemens.com/productcert/pdf/ssa-456423.pdf
- Bulletin de sécurité Siemens ssa-470231 du 22 février 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-470231.pdf
- Bulletin de sécurité Siemens ssa-487246 du 08 avril 2015 https://cert-portal.siemens.com/productcert/pdf/ssa-487246.pdf
- Bulletin de sécurité Siemens ssa-507847 du 09 octobre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-507847.pdf
- Bulletin de sécurité Siemens ssa-542701 du 14 mai 2019 https://cert-portal.siemens.com/productcert/pdf/ssa-542701.pdf
- Bulletin de sécurité Siemens ssa-546832 du 03 mai 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-546832.pdf
- Bulletin de sécurité Siemens ssa-584286 du 13 novembre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-584286.pdf
- Bulletin de sécurité Siemens ssa-592007 du 20 mars 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-592007.pdf
- Bulletin de sécurité Siemens ssa-597212 du 21 janvier 2015 https://cert-portal.siemens.com/productcert/pdf/ssa-597212.pdf
- Bulletin de sécurité Siemens ssa-623229 du 08 avril 2016 https://cert-portal.siemens.com/productcert/pdf/ssa-623229.pdf
- Bulletin de sécurité Siemens ssa-625789 du 10 juin 2011 https://cert-portal.siemens.com/productcert/pdf/ssa-625789.pdf
- Bulletin de sécurité Siemens ssa-635659 du 15 avril 2014 https://cert-portal.siemens.com/productcert/pdf/ssa-635659.pdf
- Bulletin de sécurité Siemens ssa-654382 du 20 mars 2014 https://cert-portal.siemens.com/productcert/pdf/ssa-654382.pdf
- Bulletin de sécurité Siemens ssa-672373 du 18 novembre 2016 https://cert-portal.siemens.com/productcert/pdf/ssa-672373.pdf
- Bulletin de sécurité Siemens ssa-724606 du 20 décembre 2012 https://cert-portal.siemens.com/productcert/pdf/ssa-724606.pdf
- Bulletin de sécurité Siemens ssa-731239 du 09 décembre 2016 https://cert-portal.siemens.com/productcert/pdf/ssa-731239.pdf
- Bulletin de sécurité Siemens ssa-742938 du 04 décembre 2013 https://cert-portal.siemens.com/productcert/pdf/ssa-742938.pdf
- Bulletin de sécurité Siemens ssa-744850 du 11 juin 2019 https://cert-portal.siemens.com/productcert/pdf/ssa-774850.pdf
- Bulletin de sécurité Siemens ssa-763427 du 27 novembre 2015 https://cert-portal.siemens.com/productcert/pdf/ssa-763427.pdf
- Bulletin de sécurité Siemens ssa-804486 du 14 mai 2019 https://cert-portal.siemens.com/productcert/pdf/ssa-804486.pdf
- Bulletin de sécurité Siemens ssa-818183 du 08 juin 2016 https://cert-portal.siemens.com/productcert/pdf/ssa-818183.pdf
- Bulletin de sécurité Siemens ssa-833048 du 14 mars 2016 https://cert-portal.siemens.com/productcert/pdf/ssa-833048.pdf
- Bulletin de sécurité Siemens ssa-850708 du 11 septembre 2013 https://cert-portal.siemens.com/productcert/pdf/ssa-850708.pdf
- Bulletin de sécurité Siemens ssa-874235 du 26 juin 2017 https://cert-portal.siemens.com/productcert/pdf/ssa-874235.pdf
- Bulletin de sécurité Siemens ssa-892012 du 24 avril 2014 https://cert-portal.siemens.com/productcert/pdf/ssa-892012.pdf
- Bulletin de sécurité Siemens ssa-892715 du 22 février 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-892715.pdf
- Bulletin de sécurité Siemens ssa-914382 du 15 mai 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-914382.pdf
- Bulletin de sécurité Siemens ssa-944083 du 13 novembre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-944083.pdf
- Bulletin de sécurité Siemens ssa-954136 du 02 février 2015 https://cert-portal.siemens.com/productcert/pdf/ssa-954136.pdf
- Bulletin de sécurité Siemens ssa-982399 du 11 décembre 2018 https://cert-portal.siemens.com/productcert/pdf/ssa-982399.pdf
- Bulletin de sécurité Siemens ssa-987029 du 05 mars 2015 https://cert-portal.siemens.com/productcert/pdf/ssa-987029.pdf
- Bulletin de sécurité Siemens ssa-994726 du 05 mars 2015 https://cert-portal.siemens.com/productcert/pdf/ssa-994726.pdf
- Référence CVE CVE-2013-0700 https://www.cve.org/CVERecord?id=CVE-2013-0700
- Référence CVE CVE-2013-2780 https://www.cve.org/CVERecord?id=CVE-2013-2780
- Référence CVE CVE-2014-2246 https://www.cve.org/CVERecord?id=CVE-2014-2246
- Référence CVE CVE-2014-2247 https://www.cve.org/CVERecord?id=CVE-2014-2247
- Référence CVE CVE-2014-2248 https://www.cve.org/CVERecord?id=CVE-2014-2248
- Référence CVE CVE-2014-2249 https://www.cve.org/CVERecord?id=CVE-2014-2249
- Référence CVE CVE-2014-2250 https://www.cve.org/CVERecord?id=CVE-2014-2250
- Référence CVE CVE-2014-2251 https://www.cve.org/CVERecord?id=CVE-2014-2251
- Référence CVE CVE-2014-2252 https://www.cve.org/CVERecord?id=CVE-2014-2252
- Référence CVE CVE-2014-2253 https://www.cve.org/CVERecord?id=CVE-2014-2253
- Référence CVE CVE-2014-2254 https://www.cve.org/CVERecord?id=CVE-2014-2254
- Référence CVE CVE-2014-2255 https://www.cve.org/CVERecord?id=CVE-2014-2255
- Référence CVE CVE-2014-2256 https://www.cve.org/CVERecord?id=CVE-2014-2256
- Référence CVE CVE-2014-2257 https://www.cve.org/CVERecord?id=CVE-2014-2257
- Référence CVE CVE-2014-2258 https://www.cve.org/CVERecord?id=CVE-2014-2258
- Référence CVE CVE-2014-2259 https://www.cve.org/CVERecord?id=CVE-2014-2259
- Référence CVE CVE-2014-2908 https://www.cve.org/CVERecord?id=CVE-2014-2908
- Référence CVE CVE-2014-2909 https://www.cve.org/CVERecord?id=CVE-2014-2909
- Référence CVE CVE-2014-8478 https://www.cve.org/CVERecord?id=CVE-2014-8478
- Référence CVE CVE-2014-8479 https://www.cve.org/CVERecord?id=CVE-2014-8479
- Référence CVE CVE-2015-1048 https://www.cve.org/CVERecord?id=CVE-2015-1048
- Référence CVE CVE-2015-2177 https://www.cve.org/CVERecord?id=CVE-2015-2177
- Référence CVE CVE-2015-5698 https://www.cve.org/CVERecord?id=CVE-2015-5698
- Référence CVE CVE-2015-8214 https://www.cve.org/CVERecord?id=CVE-2015-8214
- Référence CVE CVE-2016-2200 https://www.cve.org/CVERecord?id=CVE-2016-2200
- Référence CVE CVE-2016-2201 https://www.cve.org/CVERecord?id=CVE-2016-2201
- Référence CVE CVE-2016-2846 https://www.cve.org/CVERecord?id=CVE-2016-2846
- Référence CVE CVE-2016-3949 https://www.cve.org/CVERecord?id=CVE-2016-3949
- Référence CVE CVE-2016-8561 https://www.cve.org/CVERecord?id=CVE-2016-8561
- Référence CVE CVE-2016-8562 https://www.cve.org/CVERecord?id=CVE-2016-8562
- Référence CVE CVE-2017-12741 https://www.cve.org/CVERecord?id=CVE-2017-12741
- Référence CVE CVE-2017-2680 https://www.cve.org/CVERecord?id=CVE-2017-2680
- Référence CVE CVE-2018-13807 https://www.cve.org/CVERecord?id=CVE-2018-13807
- Référence CVE CVE-2018-16556 https://www.cve.org/CVERecord?id=CVE-2018-16556
- Référence CVE CVE-2018-16557 https://www.cve.org/CVERecord?id=CVE-2018-16557
- Référence CVE CVE-2018-16558 https://www.cve.org/CVERecord?id=CVE-2018-16558
- Référence CVE CVE-2018-16559 https://www.cve.org/CVERecord?id=CVE-2018-16559
- Référence CVE CVE-2018-16561 https://www.cve.org/CVERecord?id=CVE-2018-16561
- Référence CVE CVE-2018-4850 https://www.cve.org/CVERecord?id=CVE-2018-4850