Objet: [SCADA] Multiples vulnérabilités dans les produits SIEMENS

Risque(s)

• Exécution de code arbitraire à distance
• Déni de service à distance
• Contournement de la politique de sécurité
• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données

Systèmes affectés

• Mendix SAML Module versions 1.17.x antérieures à 1.17.0
• Mendix SAML Module versions 2.3.x antérieures à 2.3.0
• Mendix SAML Module versions 3.3.x antérieures à 3.3.1
• SINEC INS versions antérieures à 1.0 SP2
• CoreShield One-Way Gateway (OWG) Software versions antérieures à 2.2
• Parasolid V33.1 versions 33.1.x antérieures à 33.1.263
• Parasolid V33.1 versions 34.0.x antérieures à 34.0.252
• Parasolid V33.1 versions 34.1.x antérieures à 34.1.242
• Parasolid V35.0 versions 35.0.x antérieures à 35.0.164
• Simcenter Femap V2022.1 versions antérieures à V2022.1.3
• Simcenter Femap V2022.2 versions antérieures à V2022.2.2
• RUGGEDCOM ROS RMC8388 versions antérieures à 5.6.0
• RUGGEDCOM ROS RS416Pv2 versions antérieures à 5.6.0
• RUGGEDCOM ROS RS416v2 versions antérieures à 5.6.0
• RUGGEDCOM ROS RS900 (32M) versions antérieures à 5.6.0
• RUGGEDCOM ROS RS900G (32M) versions antérieures à 5.6.0
• RUGGEDCOM ROS RSG907R versions antérieures à 5.6.0
• RUGGEDCOM ROS RSG908C versions antérieures à 5.6.0
• RUGGEDCOM ROS RSG909R versions antérieures à 5.6.0
• RUGGEDCOM ROS RSG910C versions antérieures à 5.6.0
• RUGGEDCOM ROS RSG920P versions antérieures à 5.6.0
• RUGGEDCOM ROS RSG2100 (32M) versions antérieures à 5.6.0
• RUGGEDCOM ROS RSG2288 versions antérieures à 5.6.0
• RUGGEDCOM ROS RSG2300 versions antérieures à 5.6.0
• RUGGEDCOM ROS RSG2300P versions antérieures à 5.6.0
• RUGGEDCOM ROS RSG2488 versions antérieures à 5.6.0
• RUGGEDCOM ROS RSL910 versions antérieures à 5.6.0
• RUGGEDCOM ROS RST916C versions antérieures à 5.6.0
• RUGGEDCOM ROS RST916P versions antérieures à 5.6.0
• RUGGEDCOM ROS RST2228 versions antérieures à 5.6.0
• RUGGEDCOM ROS RST2228P versions antérieures à 5.6.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SIEMENS. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Siemens ssa-638652 du 13 septembre 2022
  https://cert-portal.siemens.com/productcert/html/ssa-638652.html
• Bulletin de sécurité Siemens ssa-637483 du 13 septembre 2022
  https://cert-portal.siemens.com/productcert/html/ssa-637483.html
• Bulletin de sécurité Siemens ssa-589975 du 13 septembre 2022
  https://cert-portal.siemens.com/productcert/html/ssa-589975.html
• Bulletin de sécurité Siemens ssa-518824 du 13 septembre 2022
  https://cert-portal.siemens.com/productcert/html/ssa-518824.html
• Bulletin de sécurité Siemens ssa-459643 du 13 septembre 2022
  https://cert-portal.siemens.com/productcert/html/ssa-459643.html
• Référence CVE CVE-2022-37011
  https://www.cve.org/CVERecord?id=CVE-2022-37011
• Référence CVE CVE-2020-7793
  https://www.cve.org/CVERecord?id=CVE-2020-7793
• Référence CVE CVE-2020-12762
  https://www.cve.org/CVERecord?id=CVE-2020-12762
• Référence CVE CVE-2020-28168
  https://www.cve.org/CVERecord?id=CVE-2020-28168
• Référence CVE CVE-2020-28500
  https://www.cve.org/CVERecord?id=CVE-2020-28500
• Référence CVE CVE-2021-3749
  https://www.cve.org/CVERecord?id=CVE-2021-3749
• Référence CVE CVE-2021-4160
  https://www.cve.org/CVERecord?id=CVE-2021-4160
• Référence CVE CVE-2016-0701
  https://www.cve.org/CVERecord?id=CVE-2016-0701
• Référence CVE CVE-2021-23337
  https://www.cve.org/CVERecord?id=CVE-2021-23337
• Référence CVE CVE-2021-23839
  https://www.cve.org/CVERecord?id=CVE-2021-23839
• Référence CVE CVE-2021-23841
  https://www.cve.org/CVERecord?id=CVE-2021-23841
• Référence CVE CVE-2021-25217
  https://www.cve.org/CVERecord?id=CVE-2021-25217
• Référence CVE CVE-2021-25220
  https://www.cve.org/CVERecord?id=CVE-2021-25220
• Référence CVE CVE-2022-0155
  https://www.cve.org/CVERecord?id=CVE-2022-0155
• Référence CVE CVE-2022-0235
  https://www.cve.org/CVERecord?id=CVE-2022-0235
• Référence CVE CVE-2022-0396
  https://www.cve.org/CVERecord?id=CVE-2022-0396
• Référence CVE CVE-2022-38466
  https://www.cve.org/CVERecord?id=CVE-2022-38466
• Référence CVE CVE-2022-39142
  https://www.cve.org/CVERecord?id=CVE-2022-39142
• Référence CVE CVE-2022-39143
  https://www.cve.org/CVERecord?id=CVE-2022-39143
• Référence CVE CVE-2022-39144
  https://www.cve.org/CVERecord?id=CVE-2022-39144
• Référence CVE CVE-2022-39145
  https://www.cve.org/CVERecord?id=CVE-2022-39145
• Référence CVE CVE-2022-39146
  https://www.cve.org/CVERecord?id=CVE-2022-39146
• Référence CVE CVE-2022-39147
  https://www.cve.org/CVERecord?id=CVE-2022-39147
• Référence CVE CVE-2022-39148
  https://www.cve.org/CVERecord?id=CVE-2022-39148
• Référence CVE CVE-2022-39149
  https://www.cve.org/CVERecord?id=CVE-2022-39149
• Référence CVE CVE-2022-39150
  https://www.cve.org/CVERecord?id=CVE-2022-39150
• Référence CVE CVE-2022-39151
  https://www.cve.org/CVERecord?id=CVE-2022-39151
• Référence CVE CVE-2022-39152
  https://www.cve.org/CVERecord?id=CVE-2022-39152
• Référence CVE CVE-2022-39153
  https://www.cve.org/CVERecord?id=CVE-2022-39153
• Référence CVE CVE-2022-39154
  https://www.cve.org/CVERecord?id=CVE-2022-39154
• Référence CVE CVE-2022-39155
  https://www.cve.org/CVERecord?id=CVE-2022-39155
• Référence CVE CVE-2022-39156
  https://www.cve.org/CVERecord?id=CVE-2022-39156
• Référence CVE CVE-2022-39137
  https://www.cve.org/CVERecord?id=CVE-2022-39137
• Référence CVE CVE-2022-39138
  https://www.cve.org/CVERecord?id=CVE-2022-39138
• Référence CVE CVE-2022-39139
  https://www.cve.org/CVERecord?id=CVE-2022-39139
• Référence CVE CVE-2022-39140
  https://www.cve.org/CVERecord?id=CVE-2022-39140
• Référence CVE CVE-2022-39141
  https://www.cve.org/CVERecord?id=CVE-2022-39141
• Référence CVE CVE-2022-39158
  https://www.cve.org/CVERecord?id=CVE-2022-39158