S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 08 décembre 2020
N° CERTFR-2020-AVI-800
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2020-AVI-800
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version08 décembre 2020
Date de la dernière version08 décembre 2020
Source(s) Bulletin de sécurité Siemens ssa-181018 du 8 décembre 2020
Bulletin de sécurité Siemens ssa-415783 du 8 décembre 2020
Bulletin de sécurité Siemens ssa-478893 du 8 décembre 2020
Bulletin de sécurité Siemens ssa-480824 du 8 décembre 2020
Bulletin de sécurité Siemens ssa-541017 du 8 décembre 2020
Bulletin de sécurité Siemens ssa-700697 du 8 décembre 2020
Bulletin de sécurité Siemens ssa-712690 du 8 décembre 2020

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection de requêtes illégitimes par rebond (CSRF)
  • Élévation de privilèges

Systèmes affectés

  • LOGO! 8 BM (incl. SIPLUS variants) versions antérieures à 8.3
  • LOGO! Soft Comfort versions antérieures à 8.3
  • RFID 181EIP toutes versions
  • RUGGEDCOM Win versions antérieures à 5.2
  • SCALANCE X-200 switch family (incl. SIPLUSNET variants) versions antérieures à 5.2.3
  • SCALANCE X-200IRT switch family (incl. SIPLUSNET variants) versions antérieures à 5.4.1
  • SCALANCE X-200RNA switch family versions antérieures à 3.2.6
  • SCALANCE X-300 switch family (incl. SIPLUSNET variants) versions antérieures à 4.1.3
  • SCALANCE X408 versions antérieures à V4.1.3
  • SCALANCE X414 toutes versions
  • SENTRON PAC3200 versions antérieures à 2.4.5
  • SENTRON PAC4200 versions antérieures à 2.0.1
  • SICAM A8000 CP-8000 versions antérieures à 16
  • SICAM A8000 CP-8021 versions antérieures à 16
  • SICAM A8000 CP-8022 versions antérieures à 16
  • SIMATIC ET 200SP Open Controller(incl. SIPLUS variants) version 20.8
  • SIMATIC HMI Comfort Outdoor Panels 7" & 15"(incl. SIPLUS variants) versions antérieures à la 16 sans le correctif numéro 3
  • SIMATIC HMI Comfort Panels 4" - 22"(incl. SIPLUS variants) versions antérieures à la 16 sans le correctif numéro 3
  • SIMATIC HMI KTP Mobile Panels KTP400F,KTP700, KTP700F, KTP900 and KTP900F versions antérieures à la 16 sans le correctif numéro 3
  • SIMATIC ITC1500 V3.1 PRO toutes versions
  • SIMATIC ITC1500 V3.1 toutes versions
  • SIMATIC ITC1900 V3.1 PRO toutes versions
  • SIMATIC ITC1900 V3.1 toutes versions
  • SIMATIC ITC2200 V3.1 PRO toutes versions
  • SIMATIC ITC2200 V3.1 toutes versions
  • SIMATIC RF182C toutes versions
  • SIMATIC S7-1500 Software Controller versions 20.8
  • SIRIUS 3RW5 communication module ModbusTCP toutes versions
  • XHQ versions antérieures à 6.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 décembre 2020
    Version initiale