S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 mai 2025
N° CERTFR-2025-AVI-0397
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2025-AVI-0397
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version13 mai 2025
Date de la dernière version13 mai 2025
Source(s) Bulletin de sécurité Siemens SSA-327438 du 13 mai 2025
Bulletin de sécurité Siemens SSA-339086 du 13 mai 2025
Bulletin de sécurité Siemens SSA-446307 du 13 mai 2025
Bulletin de sécurité Siemens SSA-523418 du 13 mai 2025
Bulletin de sécurité Siemens SSA-614723 du 13 mai 2025
Bulletin de sécurité Siemens SSA-794185 du 13 mai 2025

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire
  • Injection SQL (SQLi)
  • Non spécifié par l'éditeur

Systèmes affectés

  • CPCI85 Central Processing/Communication toutes versions pour la vulnérabilité CVE-2024-3596
  • Desigo CC toutes versions
  • POWER METER SICAM Q100 family versions antérieures à V2.70
  • POWER METER SICAM Q200 family toutes versions pour la vulnérabilité CVE-2024-3596
  • SCALANCE LPE9403 toutes versions pour les vulnérabilités CVE-2025-40572, CVE-2025-40573, CVE-2025-40574, CVE-2025-40575, CVE-2025-40576, CVE-2025-40577, CVE-2025-40578, CVE-2025-40579 et CVE-2025-40580.
  • SCALANCE LPE9403 toutes versions pour les vulnérabilités CVE-2025-40581, CVE-2025-40582 et CVE-2025-40583.
  • SICAM GridPass versions antérieures à V2.50
  • SICORE Base system toutes versions pour la vulnérabilité CVE-2024-3596
  • SIMATIC IPC RS-828A toutes versions pour la vulnérabilité CVE-2024-54085
  • SIMATIC PCS neo V4.1 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2025-30174, CVE-2025-30175 et CVE-2025-30176.
  • SIMATIC PCS neo V5.0 toutes versions pour les vulnérabilités CVE-2025-30174, CVE-2025-30175 et CVE-2025-30176.
  • SIMATIC PCS neo versions antérieures à V4.1 Update 3
  • SIMATIC PCS neo versions antérieures à V5.0 Update 1
  • SIPROTEC 5 6MD84 (CP300) toutes versions pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 6MD85 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 6MD86 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 6MD89 (CP300) V9.6 versions antérieures à V9.68
  • SIPROTEC 5 6MD89 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 6MU85 (CP300) toutes versions pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7KE85 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7SA86 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7SA87 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7SD86 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7SD87 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7SJ85 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7SJ86 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7SK85 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7SL86 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7SL87 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7SS85 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7ST85 (CP300) versions antérieures à V9.68
  • SIPROTEC 5 7ST86 (CP300) versions antérieures à V9.83
  • SIPROTEC 5 7SX85 (CP300) toutes versions pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7UM85 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7UT85 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7UT86 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7UT87 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7VE85 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7VK87 (CP300) versions supérieures ou égales àV7.80 pour la vulnérabilité CVE-2024-3596
  • SIPROTEC 5 7VU85 (CP300) toutes versions pour la vulnérabilité CVE-2024-3596
  • Totally Integrated Automation Portal (TIA Portal) V17 toutes versions
  • Totally Integrated Automation Portal (TIA Portal) V18 toutes versions
  • Totally Integrated Automation Portal (TIA Portal) V19 toutes versions
  • Totally Integrated Automation Portal (TIA Portal) V20 toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et une atteinte à la confidentialité des données.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 mai 2025
    Version initiale