S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 juin 2020
N° CERTFR-2020-AVI-349
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2020-AVI-349
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version09 juin 2020
Date de la dernière version09 juin 2020
Source(s) Bulletin de sécurité Siemens ssa-312271 du 09 juin 2020
Bulletin de sécurité Siemens ssa-689942 du 09 juin 2020
Bulletin de sécurité Siemens ssa-817401 du 09 juin 2020
Bulletin de sécurité Siemens ssa-927095 du 09 juin 2020

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

  • LOGO!8 BM
  • SIMATIC Automation Tool
  • SIMATIC NET PC versions antérieures à V16 Upd3
  • SIMATIC PCS 7
  • SIMATIC PCS neo
  • SIMATIC PDM
  • SIMATIC ProSave
  • SIMATIC S7-1500
  • SIMATIC STEP 7 (TIA Portal) V13, V14, V15 et V16
  • SIMATIC STEP 7 versions antérieures à V5.6 SP2 HF3
  • SIMATIC WinCC OA V3.16 versions antérieures à V3.16-P018
  • SIMATIC WinCC OA V3.17 versions antérieures à V3.17-P003
  • SIMATIC WinCC Runtime Advanced
  • SIMATIC WinCC Runtime Professional V13, V14, V15 et V16
  • SIMATIC WinCC V7.4 versions antérieures à V7.4 SP1 Update 14
  • SIMATIC WinCC V7.5 versions antérieures à V7.5 SP1 Update 3
  • SINAMICS Startdrive
  • SINAMICS STARTER commissioning tool
  • SINAMICS STARTER versions antérieures à V5.4 HF1
  • SINEC NMS sans le dernier correctif de sécurité
  • SINEMA Server sans le dernier correctif de sécurité
  • SINUMERIK Access MyMachine /P2P versions antérieures à V4.8
  • SINUMERIK ONE virtual
  • SINUMERIK Operate
  • SINUMERIK PCU base Win10 software /IPC versions antérieures à V14.00
  • SINUMERIK PCU base Win7 software /IPC versions antérieures à V12.01 HF4

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 juin 2020
    Version initiale