S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 juin 2020
N° CERTFR-2020-AVI-349
Affaire suivie par: CERT-FR
le 09 juin 2020

Avis du CERT-FR

Objet: [SCADA] Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2020-AVI-349
Titre [SCADA] Multiples vulnérabilités dans les produits Siemens
Date de la première version 09 juin 2020
Date de la dernière version 09 juin 2020
Source(s) Bulletin de sécurité Siemens ssa-312271 du 09 juin 2020
Bulletin de sécurité Siemens ssa-689942 du 09 juin 2020
Bulletin de sécurité Siemens ssa-817401 du 09 juin 2020
Bulletin de sécurité Siemens ssa-927095 du 09 juin 2020
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance
  • Déni de service
  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • SIMATIC Automation Tool
  • SIMATIC NET PC versions antérieures à V16 Upd3
  • SIMATIC PCS 7
  • SIMATIC PCS neo
  • SIMATIC ProSave
  • SIMATIC S7-1500
  • SIMATIC STEP 7 versions antérieures à V5.6 SP2 HF3
  • SIMATIC STEP 7 (TIA Portal) V13, V14, V15 et V16
  • SIMATIC WinCC OA V3.16 versions antérieures à V3.16-P018
  • SIMATIC WinCC OA V3.17 versions antérieures à V3.17-P003
  • SIMATIC WinCC Runtime Advanced
  • SIMATIC WinCC Runtime Professional V13, V14, V15 et V16
  • SIMATIC WinCC V7.4 versions antérieures à V7.4 SP1 Update 14
  • SIMATIC WinCC V7.5 versions antérieures à V7.5 SP1 Update 3
  • SINAMICS STARTER commissioning tool
  • SINAMICS Startdrive
  • SINEC NMS sans le dernier correctif de sécurité
  • SINEMA Server sans le dernier correctif de sécurité
  • SINUMERIK ONE virtual
  • SINUMERIK Operate
  • SIMATIC PCS 7
  • SIMATIC PDM
  • SINAMICS STARTER versions antérieures à V5.4 HF1
  • LOGO!8 BM
  • SINUMERIK Access MyMachine /P2P versions antérieures à V4.8
  • SINUMERIK PCU base Win10 software /IPC versions antérieures à V14.00
  • SINUMERIK PCU base Win7 software /IPC versions antérieures à V12.01 HF4

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 juin 2020
    Version initiale