[SCADA] Multiples vulnérabilités dans les produits Siemens

Risque(s)

Exécution de code arbitraire à distance
Déni de service à distance
Contournement de la politique de sécurité
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données

Systèmes affectés

APOGEE MBC (PPC) (BACnet) toutes versions
APOGEE MBC (PPC) (P2 Ethernet) toutes versions
APOGEE MEC (PPC) (BACnet) toutes versions
APOGEE MEC (PPC) (P2 Ethernet) toutes versions
APOGEE PXC Compact (BACnet) toutes versions
APOGEE PXC Compact (P2 Ethernet) toutes versions
APOGEE PXC Modular (BACnet) toutes versions
APOGEE PXC Modular (P2 Ethernet) toutes versions
Capital VSTAR toutes versions
Capital VSTAR versions incluant les modules DNS
Climatix POL909 (AWM module) toutes versions antérieures à V11.34
Mendix Applications using Mendix 7 toutes versions antérieures à V7.23.26
Mendix Applications using Mendix 8 toutes versions antérieures à V8.18.13
Mendix Applications using Mendix 9 toutes versions antérieures à V9.6.2
Nucleus NET toutes versions
Nucleus ReadyStart V3 toutes versions antérieures à V2012.12
Nucleus ReadyStart V3 toutes versions antérieures à V2013.08
Nucleus ReadyStart V3 toutes versions antérieures à V2017.02.4
Nucleus ReadyStart V4 toutes versions antérieures à V4.1.1
Nucleus Source Code toutes versions
Nucleus Source Code versions incluant les modules DNS
NX 1953 Series toutes versions antérieures à V1973.3700
NX 1980 Series toutes versions antérieures à V1984
NX 1980 Series toutes versions antérieures à V1988
PSS(R)E V34 toutes versions antérieures à V34.9.1
PSS(R)E V35 toutes versions antérieures à V35.3.2
PSS(R)ODMS V12 toutes versions antérieures à V12.2.6.1
SCALANCE W1750D toutes versions antérieures à V8.7.1.3
SENTRON powermanager V3 toutes versions
SICAM 230 toutes versions
SIMATIC Information Server toutes versions >= V2019 SP1
SIMATIC PCS 7 V8.2 toutes versions
SIMATIC PCS 7 V9.0 toutes versions
SIMATIC PCS 7 V9.1 toutes versions
SIMATIC RTLS Locating Manager toutes versions antérieures à V2.12
SIMATIC WinCC OA V3.17 toutes versions
SIMATIC WinCC OA V3.18 toutes versions
SIMATIC WinCC V15 toutes versions
SIMATIC WinCC V16 toutes versions
SIMATIC WinCC V17 toutes versions
SIMATIC WinCC V7.4 toutes versions
SIMATIC WinCC V7.5 toutes versions antérieures à V7.5 SP2 Update 5
Siveillance Video DLNA Server 2019 R1, 2019 R2, 2019 R3
Siveillance Video DLNA Server 2020 R1, 2020 R2, 2020 R3
Siveillance Video DLNA Server 2021 R1
TALON TC Compact (BACnet) toutes versions
TALON TC Modular (BACnet) toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Siemens ssa-044112 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-044112.pdf
Bulletin de sécurité Siemens ssa-114589 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-114589.pdf
Bulletin de sécurité Siemens ssa-145157 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-145157.pdf
Bulletin de sécurité Siemens ssa-328042 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-328042.pdf
Bulletin de sécurité Siemens ssa-338732 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-338732.pdf
Bulletin de sécurité Siemens ssa-537983 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-537983.pdf
Bulletin de sécurité Siemens ssa-580693 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-580693.pdf
Bulletin de sécurité Siemens ssa-703715 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-703715.pdf
Bulletin de sécurité Siemens ssa-740908 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-740908.pdf
Bulletin de sécurité Siemens ssa-755517 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-755517.pdf
Bulletin de sécurité Siemens ssa-779699 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-779699.pdf
Bulletin de sécurité Siemens ssa-840188 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-840188.pdf
Bulletin de sécurité Siemens ssa-917476 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-917476.pdf
Bulletin de sécurité Siemens ssa-185699 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-185699.pdf
Bulletin de sécurité Siemens ssa-201384 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-201384.pdf
Bulletin de sécurité Siemens ssa-248289 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-248289.pdf
Bulletin de sécurité Siemens ssa-362164 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-362164.pdf
Bulletin de sécurité Siemens ssa-705111 du 9 novembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-705111.pdf
Référence CVE CVE-2021-31344
https://www.cve.org/CVERecord?id=CVE-2021-31344
Référence CVE CVE-2021-31345
https://www.cve.org/CVERecord?id=CVE-2021-31345
Référence CVE CVE-2021-31346
https://www.cve.org/CVERecord?id=CVE-2021-31346
Référence CVE CVE-2021-31881
https://www.cve.org/CVERecord?id=CVE-2021-31881
Référence CVE CVE-2021-31882
https://www.cve.org/CVERecord?id=CVE-2021-31882
Référence CVE CVE-2021-31883
https://www.cve.org/CVERecord?id=CVE-2021-31883
Référence CVE CVE-2021-31884
https://www.cve.org/CVERecord?id=CVE-2021-31884
Référence CVE CVE-2021-31885
https://www.cve.org/CVERecord?id=CVE-2021-31885
Référence CVE CVE-2021-31886
https://www.cve.org/CVERecord?id=CVE-2021-31886
Référence CVE CVE-2021-31887
https://www.cve.org/CVERecord?id=CVE-2021-31887
Référence CVE CVE-2021-31888
https://www.cve.org/CVERecord?id=CVE-2021-31888
Référence CVE CVE-2021-31889
https://www.cve.org/CVERecord?id=CVE-2021-31889
Référence CVE CVE-2021-31890
https://www.cve.org/CVERecord?id=CVE-2021-31890
Référence CVE CVE-2020-10052
https://www.cve.org/CVERecord?id=CVE-2020-10052
Référence CVE CVE-2020-10053
https://www.cve.org/CVERecord?id=CVE-2020-10053
Référence CVE CVE-2020-10054
https://www.cve.org/CVERecord?id=CVE-2020-10054
Référence CVE CVE-2021-41535
https://www.cve.org/CVERecord?id=CVE-2021-41535
Référence CVE CVE-2021-41538
https://www.cve.org/CVERecord?id=CVE-2021-41538
Référence CVE CVE-2021-42015
https://www.cve.org/CVERecord?id=CVE-2021-42015
Référence CVE CVE-2021-37207
https://www.cve.org/CVERecord?id=CVE-2021-37207
Référence CVE CVE-2021-41057
https://www.cve.org/CVERecord?id=CVE-2021-41057
Référence CVE CVE-2021-40366
https://www.cve.org/CVERecord?id=CVE-2021-40366
Référence CVE CVE-2021-41533
https://www.cve.org/CVERecord?id=CVE-2021-41533
Référence CVE CVE-2021-41534
https://www.cve.org/CVERecord?id=CVE-2021-41534
Référence CVE CVE-2021-42021
https://www.cve.org/CVERecord?id=CVE-2021-42021
Référence CVE CVE-2021-42025
https://www.cve.org/CVERecord?id=CVE-2021-42025
Référence CVE CVE-2021-42026
https://www.cve.org/CVERecord?id=CVE-2021-42026
Référence CVE CVE-2021-40358
https://www.cve.org/CVERecord?id=CVE-2021-40358
Référence CVE CVE-2021-40359
https://www.cve.org/CVERecord?id=CVE-2021-40359
Référence CVE CVE-2021-40364
https://www.cve.org/CVERecord?id=CVE-2021-40364
Référence CVE CVE-2021-37727
https://www.cve.org/CVERecord?id=CVE-2021-37727
Référence CVE CVE-2021-37734
https://www.cve.org/CVERecord?id=CVE-2021-37734
Référence CVE CVE-2021-37726
https://www.cve.org/CVERecord?id=CVE-2021-37726
Référence CVE CVE-2021-37730
https://www.cve.org/CVERecord?id=CVE-2021-37730
Référence CVE CVE-2021-37732
https://www.cve.org/CVERecord?id=CVE-2021-37732
Référence CVE CVE-2021-37735
https://www.cve.org/CVERecord?id=CVE-2021-37735
Référence CVE CVE-2020-15795
https://www.cve.org/CVERecord?id=CVE-2020-15795
Référence CVE CVE-2020-27009
https://www.cve.org/CVERecord?id=CVE-2020-27009
Référence CVE CVE-2021-27393
https://www.cve.org/CVERecord?id=CVE-2021-27393
Référence CVE CVE-2021-25663
https://www.cve.org/CVERecord?id=CVE-2021-25663
Référence CVE CVE-2021-25664
https://www.cve.org/CVERecord?id=CVE-2021-25664
Référence CVE CVE-2020-28388
https://www.cve.org/CVERecord?id=CVE-2020-28388
Référence CVE CVE-2021-25677
https://www.cve.org/CVERecord?id=CVE-2021-25677
Référence CVE CVE-2020-27736
https://www.cve.org/CVERecord?id=CVE-2020-27736
Référence CVE CVE-2020-27737
https://www.cve.org/CVERecord?id=CVE-2020-27737
Référence CVE CVE-2020-27738
https://www.cve.org/CVERecord?id=CVE-2020-27738

Référence	CERTFR-2021-AVI-854
Titre	[SCADA] Multiples vulnérabilités dans les produits Siemens
Date de la première version	09 novembre 2021
Date de la dernière version	09 novembre 2021
Source(s)	Bulletin de sécurité Siemens ssa-044112 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-114589 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-145157 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-328042 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-338732 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-537983 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-580693 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-703715 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-740908 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-755517 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-779699 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-840188 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-917476 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-185699 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-201384 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-248289 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-362164 du 9 novembre 2021 Bulletin de sécurité Siemens ssa-705111 du 9 novembre 2021
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: [SCADA] Multiples vulnérabilités dans les produits Siemens

Gestion du document

Risque(s)

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document