[SCADA] Multiples vulnérabilités dans les produits Siemens

Risque(s)

Exécution de code arbitraire à distance
Déni de service à distance
Contournement de la politique de sécurité
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Élévation de privilèges

Systèmes affectés

SICAM TOOLBOX II versions antérieures à 07.10
Périphériques RUGGEDCOM ROS versions antérieures à 4.3.8
Solid Edge SE2023 versions antérieures à 223.0 Update 7
RUGGEDCOM CROSSBOW versions antérieures à 5.4
Parasolid versions 34.1.x antérieures à 34.1.258
Parasolid versions 35.0.x antérieures à 35.0.254
Parasolid versions 35.1.x antérieures à 35.1.197
Teamcenter Visualization versions 14.1.x, se référer à l'avis éditeur pour plus d'information sur les mesures de contournement
Teamcenter Visualization versions 14.2.x antérieures à 14.2.0.6
Teamcenter Visualization versions 14.3.x, se référer à l'avis éditeur pour plus d'information sur les mesures de contournement
SIMATIC contrôleur de disque CPU 1504D versions antérieures à 3.0.3
SIMATIC contrôleur de disque CPU 1507D versions antérieures à 3.0.3
SIMATIC ET toutes versions
SIMATIC IPC toutes versions
SIMATIC S7 versions antérieures à 3.0.3
SIPLUS ET versions antérieures à 3.3.19
SIPLUS S7 versions antérieures à 3.0.3
Siemens Software Center versions antérieures à 3.0
APOGEE PXC Compact versions antérieures à 3.5.5
APOGEE PXC Compact (P2 Ethernet) versions antérieures à 2.8.20
APOGEE PXC Modular (BACnet) versions antérieures à 3.5.5
APOGEE PXC Modular (P2 Ethernet) versions antérieures à 2.8.20
TALON TC Compact versions antérieures à 3.5.5
TALON TC Modular (BACnet) versions antérieures à 3.5.5
JT2Go versions antérieures à 14.2.0.5
Solid Edge SE2022 versions antérieures à 222.0 Update 13
Solid Edge SE2023 versions antérieures à 223.0 Update 4
Teamcenter Visualization versions 13.2.x antérieures à 13.2.0.15
Teamcenter Visualization versions 13.3.x antérieures à 13.3.0.11
Teamcenter Visualization versions 14.1.x antérieures à 14.1.0.11
Teamcenter Visualization versions 14.2.x antérieures à 14.2.0.5
Parasolid versions 35.0.x sans la procédure de réinstallation
Parasolid versions 35.1.x sans la procédure de réinstallation
JT Open versions antérieures à 11.4
JT Utilities versions antérieures à 13.4
Parasolid versions 34.0.x antérieures à 34.0.253
Parasolid versions 34.1.x antérieures à 34.1.243
Parasolid versions 35.0.x antérieures à 35.0.177
Parasolid versions 35.1.x antérieures à 35.1.073

L'éditeur ne propose pas de correctif pour certains produits RUGGEDCOM ROS, SIMATIC ou SIPLUS, se référer aux avis pour obtenir plus d'informations sur les mesures de contournement.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Siemens ssa-975961 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-975961.html
Bulletin de sécurité Siemens ssa-908185 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-908185.html
Bulletin de sécurité Siemens ssa-811403 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-811403.html
Bulletin de sécurité Siemens ssa-770902 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-770902.html
Bulletin de sécurité Siemens ssa-472630 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-472630.html
Bulletin de sécurité Siemens ssa-407785 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-407785.html
Bulletin de sécurité Siemens ssa-264815 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-264815.html
Bulletin de sécurité Siemens ssa-264814 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-264814.html
Bulletin de sécurité Siemens ssa-188491 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-188491.html
Bulletin de sécurité Siemens ssa-180579 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-180579.html
Bulletin de sécurité Siemens ssa-131450 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-131450.html
Bulletin de sécurité Siemens ssa-116172 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-116172.html
Bulletin de sécurité Siemens ssa-001569 du 8 août 2023
https://cert-portal.siemens.com/productcert/html/ssa-001569.html
Référence CVE CVE-2022-39062
https://www.cve.org/CVERecord?id=CVE-2022-39062
Référence CVE CVE-2023-38641
https://www.cve.org/CVERecord?id=CVE-2023-38641
Référence CVE CVE-2023-24845
https://www.cve.org/CVERecord?id=CVE-2023-24845
Référence CVE CVE-2023-39181
https://www.cve.org/CVERecord?id=CVE-2023-39181
Référence CVE CVE-2023-39182
https://www.cve.org/CVERecord?id=CVE-2023-39182
Référence CVE CVE-2023-39183
https://www.cve.org/CVERecord?id=CVE-2023-39183
Référence CVE CVE-2023-39184
https://www.cve.org/CVERecord?id=CVE-2023-39184
Référence CVE CVE-2023-39185
https://www.cve.org/CVERecord?id=CVE-2023-39185
Référence CVE CVE-2023-39186
https://www.cve.org/CVERecord?id=CVE-2023-39186
Référence CVE CVE-2023-39187
https://www.cve.org/CVERecord?id=CVE-2023-39187
Référence CVE CVE-2023-39188
https://www.cve.org/CVERecord?id=CVE-2023-39188
Référence CVE CVE-2023-39419
https://www.cve.org/CVERecord?id=CVE-2023-39419
Référence CVE CVE-2023-39269
https://www.cve.org/CVERecord?id=CVE-2023-39269
Référence CVE CVE-2021-31239
https://www.cve.org/CVERecord?id=CVE-2021-31239
Référence CVE CVE-2022-37971
https://www.cve.org/CVERecord?id=CVE-2022-37971
Référence CVE CVE-2023-27411
https://www.cve.org/CVERecord?id=CVE-2023-27411
Référence CVE CVE-2023-37372
https://www.cve.org/CVERecord?id=CVE-2023-37372
Référence CVE CVE-2023-37373
https://www.cve.org/CVERecord?id=CVE-2023-37373
Référence CVE CVE-2023-38524
https://www.cve.org/CVERecord?id=CVE-2023-38524
Référence CVE CVE-2023-38525
https://www.cve.org/CVERecord?id=CVE-2023-38525
Référence CVE CVE-2023-38526
https://www.cve.org/CVERecord?id=CVE-2023-38526
Référence CVE CVE-2023-38530
https://www.cve.org/CVERecord?id=CVE-2023-38530
Référence CVE CVE-2023-38532
https://www.cve.org/CVERecord?id=CVE-2023-38532
Référence CVE CVE-2023-38528
https://www.cve.org/CVERecord?id=CVE-2023-38528
Référence CVE CVE-2023-38529
https://www.cve.org/CVERecord?id=CVE-2023-38529
Référence CVE CVE-2023-38531
https://www.cve.org/CVERecord?id=CVE-2023-38531
Référence CVE CVE-2023-38527
https://www.cve.org/CVERecord?id=CVE-2023-38527
Référence CVE CVE-2023-0286
https://www.cve.org/CVERecord?id=CVE-2023-0286
Référence CVE CVE-2023-4304
https://www.cve.org/CVERecord?id=CVE-2023-4304
Référence CVE CVE-2022-4304
https://www.cve.org/CVERecord?id=CVE-2022-4304
Référence CVE CVE-2021-41544
https://www.cve.org/CVERecord?id=CVE-2021-41544
Référence CVE CVE-2022-25634
https://www.cve.org/CVERecord?id=CVE-2022-25634
Référence CVE CVE-2022-45937
https://www.cve.org/CVERecord?id=CVE-2022-45937
Référence CVE CVE-2020-28388
https://www.cve.org/CVERecord?id=CVE-2020-28388
Référence CVE CVE-2020-15795
https://www.cve.org/CVERecord?id=CVE-2020-15795
Référence CVE CVE-2020-27009
https://www.cve.org/CVERecord?id=CVE-2020-27009
Référence CVE CVE-2020-27736
https://www.cve.org/CVERecord?id=CVE-2020-27736
Référence CVE CVE-2020-27737
https://www.cve.org/CVERecord?id=CVE-2020-27737
Référence CVE CVE-2020-27738
https://www.cve.org/CVERecord?id=CVE-2020-27738
Référence CVE CVE-2021-25677
https://www.cve.org/CVERecord?id=CVE-2021-25677
Référence CVE CVE-2023-28830
https://www.cve.org/CVERecord?id=CVE-2023-28830
Référence CVE CVE-2023-38682
https://www.cve.org/CVERecord?id=CVE-2023-38682
Référence CVE CVE-2023-38683
https://www.cve.org/CVERecord?id=CVE-2023-38683
Référence CVE CVE-2023-37378
https://www.cve.org/CVERecord?id=CVE-2023-37378
Référence CVE CVE-2023-30795
https://www.cve.org/CVERecord?id=CVE-2023-30795
Référence CVE CVE-2023-30796
https://www.cve.org/CVERecord?id=CVE-2023-30796

Référence	CERTFR-2023-AVI-0633
Titre	[SCADA] Multiples vulnérabilités dans les produits Siemens
Date de la première version	08 août 2023
Date de la dernière version	08 août 2023
Source(s)	Bulletin de sécurité Siemens ssa-975961 du 8 août 2023 Bulletin de sécurité Siemens ssa-908185 du 8 août 2023 Bulletin de sécurité Siemens ssa-811403 du 8 août 2023 Bulletin de sécurité Siemens ssa-770902 du 8 août 2023 Bulletin de sécurité Siemens ssa-472630 du 8 août 2023 Bulletin de sécurité Siemens ssa-407785 du 8 août 2023 Bulletin de sécurité Siemens ssa-264815 du 8 août 2023 Bulletin de sécurité Siemens ssa-264814 du 8 août 2023 Bulletin de sécurité Siemens ssa-188491 du 8 août 2023 Bulletin de sécurité Siemens ssa-180579 du 8 août 2023 Bulletin de sécurité Siemens ssa-131450 du 8 août 2023 Bulletin de sécurité Siemens ssa-116172 du 8 août 2023 Bulletin de sécurité Siemens ssa-001569 du 8 août 2023
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: [SCADA] Multiples vulnérabilités dans les produits Siemens

Gestion du document

Risque(s)

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document