Risque(s)
- Exécution de code arbitraire
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- CP 1243-1 tous types et variante SIPLUS versions antérieures à 3.1
- CP 1542SP-1 et 1543SP-1 variante SIPLUS versions antérieures à 1.0.15
- CP 1543-1 variante SIPLUS versions antérieures à 2.1
- CP 343-1 tous types et variante SIPLUS toutes versions
versions antérieures à 3.1.1 - CP 443-1 tous types et variante SIPLUS toutes versions
versions antérieures à 3.2.9 3.2.17 - CP 343-1 Advanced variante SIPLUS versions antérieures à 3.0.44
- IE/PB-Link variante SIPLUS versions antérieures à 3.0
- IM 3V-IE / TIM 3V-IE Advanced variante SIPLUS versions antérieures à 2.6.0
- LOGO!8 BM variante SIPLUS toutes versions
- SCALANCE X-200 variante SIPLUS versions antérieures à 5.2.2
- SCALANCE X-200IRT variante SIPLUS versions antérieures à 5.4.0
- SCALANCE X-300 variante SIPLUS versions antérieures à 4.1.2
- SCALANCE X414 variante SIPLUS versions antérieures à 3.10.2
- SIMATIC ET200M variante SIPLUS toutes versions
- SIMATIC ET200MP variante SIPLUS versions antérieures à 4.2
- SIMATIC ET200pro et ET200S variante SIPLUS toutes versions
- SIMATIC ET200SP Open Controller variante SIPLUS versions antérieures à 2.6 et 4.2
- SIMATIC HMI Basic Panels 2nd Generation, Comfort 15-22, Comfort 4-12, Comfort Pro Panels variante SIPLUS versions antérieures à V14 SP1 Upd 6 et V15.1 Upd 1
- SIMATIC IPC427D et IPC427E variante SIPLUS BIOS versions antérieures à V17.0x.14 et V21.01.18
- SIMATIC PN/PN Coupler variante SIPLUS versions antérieures à 4.2.0
- SIMATIC S7-1200 CPU variante SIPLUS versions antérieures à
4.1.34.3
- SIMATIC S7-1500 CPU variante SIPLUS versions antérieures à
2.52.6 - SIMATIC S7-300 CPU avec support PROFINET variante SIPLUS versions antérieures à 3.X.16
- SIMATIC S7-300 CPU sans support PROFINET variante SIPLUS versions antérieures à 3.X.16
- SIMATIC S7-400 tous types en variante SIPLUS toutes versions
- SIMATIC S7-410 CPU variante SIPLUS variante SIPLUS versions antérieures à 8.2.1
- SIMOCODE pro V EIP variante SIPLUS versions antérieures à 1.0.2
- SIMOCODE pro V PN variante SIPLUS versions antérieures à 2.1.1
- SIMOTION variante SIPLUS versions antérieures à 5.1 HF1
- SINAMICS G120(C/P/D) avec PN variante SIPLUS versions antérieures à 4.7 SP9 HF1
- SINAMICS S120 variante SIPLUS versions antérieures à 4.7 HF29, 4.8 HF5 et 5.1 SP1
- SITOP UPS1600 PROFINET variante SIPLUS versions antérieures à 2.2.0
- TIM 1531 IRC variante SIPLUS versions antérieures à 2.0
- TIM 3V-IE DNP3 variante SIPLUS versions antérieures à 3.1.0
- TIM 4R-IE variante SIPLUS versions antérieures à 2.6.0
- TIM 4R-IE DNP3 variante SIPLUS versions antérieures à 3.1.0
Résumé
Cet avis concerne une mise à jour en date du 10 février 2020 de 58 avis Siemens (cf. section documentation). Les avis Siemens listent désormais les variantes SIPLUS parmi les systèmes affectés.
De multiples vulnérabilités ont été découvertes dans les produits Siemens de variante SIPLUS. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.
Solution
[Important] Certains avis étant anciens et étant donné le nombre de vulnérabilités traitées par les bulletins, le CERT-FR recommande de déterminer la version applicable pour chaque configuration et d'appliquer les mesures de protection établies par l'éditeur dans la section "workarounds and migitations" des bulletins de sécurité (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens ssa-087240 du 30 août 2017
https://cert-portal.siemens.com/productcert/pdf/ssa-087240.pdf - Bulletin de sécurité Siemens ssa-100232 du 13 août 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-100232.pdf - Bulletin de sécurité Siemens ssa-110922 du 27 mars 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-110922.pdf - Bulletin de sécurité Siemens ssa-113131 du 13 novembre 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-113131.pdf - Bulletin de sécurité Siemens ssa-130874 du 05 avril 2012
https://cert-portal.siemens.com/productcert/pdf/ssa-130874.pdf - Bulletin de sécurité Siemens ssa-134003 du 27 août 2015
https://cert-portal.siemens.com/productcert/pdf/ssa-134003.pdf - Bulletin de sécurité Siemens ssa-141614 du 09 avril 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-141614.pdf - Bulletin de sécurité Siemens ssa-168644 du 22 février 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-168644.pdf - Bulletin de sécurité Siemens ssa-176087 du 01 octobre 2013
https://cert-portal.siemens.com/productcert/pdf/ssa-176087.pdf - Bulletin de sécurité Siemens ssa-179516 du 07 août 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-179516.pdf - Bulletin de sécurité Siemens ssa-180635 du 08 janvier 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-180635.pdf - Bulletin de sécurité Siemens ssa-233109 du 13 novembre 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-233109.pdf - Bulletin de sécurité Siemens ssa-234763 du 17 juillet 2014
https://cert-portal.siemens.com/productcert/pdf/ssa-234763.pdf - Bulletin de sécurité Siemens ssa-240718 du 13 septembre 2012
https://cert-portal.siemens.com/productcert/pdf/ssa-240718.pdf - Bulletin de sécurité Siemens ssa-253230 du 08 février 2016
https://cert-portal.siemens.com/productcert/pdf/ssa-253230.pdf - Bulletin de sécurité Siemens ssa-254686 du 09 octobre 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-254686.pdf - Bulletin de sécurité Siemens ssa-268644 du 09 septembre 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-268644.pdf - Bulletin de sécurité Siemens ssa-279823 du 08 octobre 2012
https://cert-portal.siemens.com/productcert/pdf/ssa-279823.pdf - Bulletin de sécurité Siemens ssa-293562 du 08 mai 2017
https://cert-portal.siemens.com/productcert/pdf/ssa-293562.pdf - Bulletin de sécurité Siemens ssa-306710 du 08 janvier 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-306710.pdf - Bulletin de sécurité Siemens ssa-310688 du 14 août 2014
https://cert-portal.siemens.com/productcert/pdf/ssa-310688.pdf - Bulletin de sécurité Siemens ssa-321046 du 19 janvier 2015
https://cert-portal.siemens.com/productcert/pdf/ssa-321046.pdf - Bulletin de sécurité Siemens ssa-346262 du 23 novembre 2017
https://cert-portal.siemens.com/productcert/pdf/ssa-346262.pdf - Bulletin de sécurité Siemens ssa-347726 du 09 octobre 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-347726.pdf - Bulletin de sécurité Siemens ssa-377318 du 12 février 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-377318.pdf - Bulletin de sécurité Siemens ssa-447396 du 11 septembre 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-447396.pdf - Bulletin de sécurité Siemens ssa-456423 du 12 mars 2014
https://cert-portal.siemens.com/productcert/pdf/ssa-456423.pdf - Bulletin de sécurité Siemens ssa-470231 du 22 février 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-470231.pdf - Bulletin de sécurité Siemens ssa-487246 du 08 avril 2015
https://cert-portal.siemens.com/productcert/pdf/ssa-487246.pdf - Bulletin de sécurité Siemens ssa-507847 du 09 octobre 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-507847.pdf - Bulletin de sécurité Siemens ssa-542701 du 14 mai 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-542701.pdf - Bulletin de sécurité Siemens ssa-546832 du 03 mai 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-546832.pdf - Bulletin de sécurité Siemens ssa-584286 du 13 novembre 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-584286.pdf - Bulletin de sécurité Siemens ssa-592007 du 20 mars 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-592007.pdf - Bulletin de sécurité Siemens ssa-597212 du 21 janvier 2015
https://cert-portal.siemens.com/productcert/pdf/ssa-597212.pdf - Bulletin de sécurité Siemens ssa-623229 du 08 avril 2016
https://cert-portal.siemens.com/productcert/pdf/ssa-623229.pdf - Bulletin de sécurité Siemens ssa-625789 du 10 juin 2011
https://cert-portal.siemens.com/productcert/pdf/ssa-625789.pdf - Bulletin de sécurité Siemens ssa-635659 du 15 avril 2014
https://cert-portal.siemens.com/productcert/pdf/ssa-635659.pdf - Bulletin de sécurité Siemens ssa-654382 du 20 mars 2014
https://cert-portal.siemens.com/productcert/pdf/ssa-654382.pdf - Bulletin de sécurité Siemens ssa-672373 du 18 novembre 2016
https://cert-portal.siemens.com/productcert/pdf/ssa-672373.pdf - Bulletin de sécurité Siemens ssa-724606 du 20 décembre 2012
https://cert-portal.siemens.com/productcert/pdf/ssa-724606.pdf - Bulletin de sécurité Siemens ssa-731239 du 09 décembre 2016
https://cert-portal.siemens.com/productcert/pdf/ssa-731239.pdf - Bulletin de sécurité Siemens ssa-742938 du 04 décembre 2013
https://cert-portal.siemens.com/productcert/pdf/ssa-742938.pdf - Bulletin de sécurité Siemens ssa-763427 du 27 novembre 2015
https://cert-portal.siemens.com/productcert/pdf/ssa-763427.pdf - Bulletin de sécurité Siemens ssa-744850 du 11 juin 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-774850.pdf - Bulletin de sécurité Siemens ssa-804486 du 14 mai 2019
https://cert-portal.siemens.com/productcert/pdf/ssa-804486.pdf - Bulletin de sécurité Siemens ssa-818183 du 08 juin 2016
https://cert-portal.siemens.com/productcert/pdf/ssa-818183.pdf - Bulletin de sécurité Siemens ssa-833048 du 14 mars 2016
https://cert-portal.siemens.com/productcert/pdf/ssa-833048.pdf - Bulletin de sécurité Siemens ssa-850708 du 11 septembre 2013
https://cert-portal.siemens.com/productcert/pdf/ssa-850708.pdf - Bulletin de sécurité Siemens ssa-874235 du 26 juin 2017
https://cert-portal.siemens.com/productcert/pdf/ssa-874235.pdf - Bulletin de sécurité Siemens ssa-892012 du 24 avril 2014
https://cert-portal.siemens.com/productcert/pdf/ssa-892012.pdf - Bulletin de sécurité Siemens ssa-892715 du 22 février 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-892715.pdf - Bulletin de sécurité Siemens ssa-914382 du 15 mai 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-914382.pdf - Bulletin de sécurité Siemens ssa-944083 du 13 novembre 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-944083.pdf - Bulletin de sécurité Siemens ssa-954136 du 02 février 2015
https://cert-portal.siemens.com/productcert/pdf/ssa-954136.pdf - Bulletin de sécurité Siemens ssa-982399 du 11 décembre 2018
https://cert-portal.siemens.com/productcert/pdf/ssa-982399.pdf - Bulletin de sécurité Siemens ssa-987029 du 05 mars 2015
https://cert-portal.siemens.com/productcert/pdf/ssa-987029.pdf - Bulletin de sécurité Siemens ssa-994726 du 05 mars 2015
https://cert-portal.siemens.com/productcert/pdf/ssa-994726.pdf - Référence CVE CVE-2013-0700
https://www.cve.org/CVERecord?id=CVE-2013-0700 - Référence CVE CVE-2013-2780
https://www.cve.org/CVERecord?id=CVE-2013-2780 - Référence CVE CVE-2014-2246
https://www.cve.org/CVERecord?id=CVE-2014-2246 - Référence CVE CVE-2014-2247
https://www.cve.org/CVERecord?id=CVE-2014-2247 - Référence CVE CVE-2014-2248
https://www.cve.org/CVERecord?id=CVE-2014-2248 - Référence CVE CVE-2014-2249
https://www.cve.org/CVERecord?id=CVE-2014-2249 - Référence CVE CVE-2014-2250
https://www.cve.org/CVERecord?id=CVE-2014-2250 - Référence CVE CVE-2014-2251
https://www.cve.org/CVERecord?id=CVE-2014-2251 - Référence CVE CVE-2014-2252
https://www.cve.org/CVERecord?id=CVE-2014-2252 - Référence CVE CVE-2014-2253
https://www.cve.org/CVERecord?id=CVE-2014-2253 - Référence CVE CVE-2014-2254
https://www.cve.org/CVERecord?id=CVE-2014-2254 - Référence CVE CVE-2014-2255
https://www.cve.org/CVERecord?id=CVE-2014-2255 - Référence CVE CVE-2014-2256
https://www.cve.org/CVERecord?id=CVE-2014-2256 - Référence CVE CVE-2014-2257
https://www.cve.org/CVERecord?id=CVE-2014-2257 - Référence CVE CVE-2014-2258
https://www.cve.org/CVERecord?id=CVE-2014-2258 - Référence CVE CVE-2014-2259
https://www.cve.org/CVERecord?id=CVE-2014-2259 - Référence CVE CVE-2014-2908
https://www.cve.org/CVERecord?id=CVE-2014-2908 - Référence CVE CVE-2014-2909
https://www.cve.org/CVERecord?id=CVE-2014-2909 - Référence CVE CVE-2014-8478
https://www.cve.org/CVERecord?id=CVE-2014-8478 - Référence CVE CVE-2014-8479
https://www.cve.org/CVERecord?id=CVE-2014-8479 - Référence CVE CVE-2015-1048
https://www.cve.org/CVERecord?id=CVE-2015-1048 - Référence CVE CVE-2015-2177
https://www.cve.org/CVERecord?id=CVE-2015-2177 - Référence CVE CVE-2015-5698
https://www.cve.org/CVERecord?id=CVE-2015-5698 - Référence CVE CVE-2015-8214
https://www.cve.org/CVERecord?id=CVE-2015-8214 - Référence CVE CVE-2016-2200
https://www.cve.org/CVERecord?id=CVE-2016-2200 - Référence CVE CVE-2016-2201
https://www.cve.org/CVERecord?id=CVE-2016-2201 - Référence CVE CVE-2016-2846
https://www.cve.org/CVERecord?id=CVE-2016-2846 - Référence CVE CVE-2016-3949
https://www.cve.org/CVERecord?id=CVE-2016-3949 - Référence CVE CVE-2016-8561
https://www.cve.org/CVERecord?id=CVE-2016-8561 - Référence CVE CVE-2016-8562
https://www.cve.org/CVERecord?id=CVE-2016-8562 - Référence CVE CVE-2017-12741
https://www.cve.org/CVERecord?id=CVE-2017-12741 - Référence CVE CVE-2017-2680
https://www.cve.org/CVERecord?id=CVE-2017-2680 - Référence CVE CVE-2018-13807
https://www.cve.org/CVERecord?id=CVE-2018-13807 - Référence CVE CVE-2018-16556
https://www.cve.org/CVERecord?id=CVE-2018-16556 - Référence CVE CVE-2018-16557
https://www.cve.org/CVERecord?id=CVE-2018-16557 - Référence CVE CVE-2018-16558
https://www.cve.org/CVERecord?id=CVE-2018-16558 - Référence CVE CVE-2018-16559
https://www.cve.org/CVERecord?id=CVE-2018-16559 - Référence CVE CVE-2018-16561
https://www.cve.org/CVERecord?id=CVE-2018-16561 - Référence CVE CVE-2018-4850
https://www.cve.org/CVERecord?id=CVE-2018-4850 - Avis CERTFR-2014-AVI-126
https://www.cert.ssi.gouv.fr/avis/CERTFR-2014-AVI-126/ - Avis CERTFR-2014-AVI-137
https://www.cert.ssi.gouv.fr/avis/CERTFR-2014-AVI-137/ - Avis CERTFR-2015-AVI-090
https://www.cert.ssi.gouv.fr/avis/CERTFR-2015-AVI-090/ - Avis CERTFR-2015-AVI-364
https://www.cert.ssi.gouv.fr/avis/CERTFR-2015-AVI-364/ - Avis CERTFR-2016-AVI-062
https://www.cert.ssi.gouv.fr/avis/CERTFR-2016-AVI-062/ - Avis CERTFR-2016-AVI-196
https://www.cert.ssi.gouv.fr/avis/CERTFR-2016-AVI-196/ - Avis CERTFR-2016-AVI-384
https://www.cert.ssi.gouv.fr/avis/CERTFR-2016-AVI-384/ - Avis CERTFR-2017-AVI-140
https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-140/ - Avis CERTFR-2017-AVI-428
https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-428/ - Avis CERTFR-2018-AVI-235
https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-235/ - Avis CERTFR-2018-AVI-429
https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-429/ - Avis CERTFR-2018-AVI-543
https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-543/ - Avis CERTFR-2019-AVI-004
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-004/