CERTFR-2022-AVI-329 : [SCADA] Multiples vulnérabilités dans les produits SIEMENS (12 avril 2022)
Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- SICAM A8000 CP-8050 (6MF2805-0AA00) versions antérieures à V4.80
- SICAM A8000 CP-8031 (6MF2803-1AA00) versions antérieures
à V4.80SIMATIC STEP 7 (TIA Portal) V15 toutes versions SIMATIC STEP 7 (TIA Portal) versions antérieures à V16 Update 5 SIMATIC STEP 7 (TIA Portal) versions antérieures à V17 Update 2 SCALANCE W1788-1 M12 (6GK5788-1GY01-0AA0) versions antérieures à V3.0.0 SCALANCE W1788-2 EEC M12 (6GK5788-2GY01-0TA0) versions antérieures à V3.0.0 SCALANCE W1788-2 M12 (6GK5788-2GY01-0AA0) versions antérieures à V3.0.0 SCALANCE W1788-2IA M12 (6GK5788-2HY01-0AA0) versions antérieures à V3.0.0 Mendix Applications using Mendix 7 versions antérieures à V7.23.27 (ne corrige pas toutes les CVE) Mendix Applications using Mendix 8 versions antérieures à V8.18.14 (ne corrige pas toutes les CVE) Mendix Applications using Mendix 9 versions antérieures à V9.12.0 SIMATIC CFU DIQ (6ES7655-5PX31-1XX0) toutes versions SIMATIC CFU PA (6ES7655-5PX11-0XX0) toutes versions Gamme SIMATIC S7-300 (y compris CPUs ET200 et variantes SIPLUS) toutes versions Gamme SIMATIC S7-400 H V6 (y compris variantes SIPLUS) versions antérieures à V6.0.10 Gamme SIMATIC S7-400 PN/DP V7 (y compris variantes SIPLUS) toutes versions Gamme SIMATIC S7-410 V8 (y compris variantes SIPLUS) toutes versions Gamme SIMATIC S7-410 V10 (y compris variantes SIPLUS) toutes versions Gamme SIMATIC S7-1500 (y compris CPUs ET200 et variantes SIPLUS) versions antérieures à V2.0.0 SIMATIC TDC CP51M1 toutes versions SIMATIC TDC CPU555 toutes versions SIMATIC WinAC RTX toutes versions SIMIT Simulation Platform toutes versions SIMATIC Energy Manager Basic versions antérieures à V7.3 Update 1 SIMATIC Energy Manager PRO versions antérieures à V7.3 Update 1 SIMATIC PCS neo (Administration Console) versions antérieures à V3.1 SP1 SINETPLAN toutes versions TIA Portal V15, V15.1, V16 et V17 SCALANCE X302-7 EEC versions antérieures à V4.1.4 SCALANCE X304-2FE (6GK5304-2BD00-2AA3) versions antérieures à V4.1.4 SCALANCE X306-1LD FE (6GK5306-1BF00-2AA3) versions antérieures à V4.1.4 SCALANCE X307-2 EEC versions antérieures à V4.1.4 SCALANCE X307-3 versions antérieures à V4.1.4 SCALANCE X307-3LD versions antérieures à V4.1.4 SCALANCE X308-2 versions antérieures à V4.1.4 SCALANCE X308-2LD versions antérieures à V4.1.4 SCALANCE X308-2LH versions antérieures à V4.1.4 SCALANCE X308-2LH+ versions antérieures à V4.1.4 SCALANCE X308-2M versions antérieures à V4.1.4 SCALANCE X308-2M PoE versions antérieures à V4.1.4 SCALANCE X308-2M TS versions antérieures à V4.1.4 SCALANCE X310 versions antérieures à V4.1.4 SCALANCE X310FE versions antérieures à V4.1.4 SCALANCE X320-1 FE (6GK5320-1BD00-2AA3) versions antérieures à V4.1.4 SCALANCE X320-1-2LD FE (6GK5320-3BF00-2AA3) versions antérieures à V4.1.4 SCALANCE X408-2 (6GK5408-2FD00-2AA2) versions antérieures à V4.1.4 SCALANCE XR324-4M EEC versions antérieures à V4.1.4 SCALANCE XR324-4M PoE TS versions antérieures à V4.1.4 SCALANCE XR324-12M versions antérieures à V4.1.4 SCALANCE XR324-12M TS versions antérieures à V4.1.4 SIPLUS NET SCALANCE X308-2 (6AG1308-2FL10-4AA3) versions antérieures à V4.1.4 Simcenter Femap versions antérieures à V2022.1.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SIEMENS. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens ssa-316850 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-316850.html - Bulletin de sécurité Siemens ssa-350757 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-350757.html - Bulletin de sécurité Siemens ssa-392912 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-392912.html - Bulletin de sécurité Siemens ssa-414513 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-414513.html - Bulletin de sécurité Siemens ssa-446448 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-446448.html - Bulletin de sécurité Siemens ssa-557541 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-557541.html - Bulletin de sécurité Siemens ssa-655554 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-655554.html - Bulletin de sécurité Siemens ssa-711829 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-711829.html - Bulletin de sécurité Siemens ssa-836527 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-836527.html - Bulletin de sécurité Siemens ssa-870917 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-870917.html - Bulletin de sécurité Siemens ssa-998762 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-998762.html - Référence CVE CVE-2022-27480
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27480 - Référence CVE CVE-2021-42029
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42029 - Référence CVE CVE-2022-27481
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27481 - Référence CVE CVE-2022-28328
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28328 - Référence CVE CVE-2022-28329
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28329 - Référence CVE CVE-2022-27241
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27241 - Référence CVE CVE-2022-25622
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25622 - Référence CVE CVE-2021-40368
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40368 - Référence CVE CVE-2022-23448
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23448 - Référence CVE CVE-2022-23449
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23449 - Référence CVE CVE-2022-23450
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23450 - Référence CVE CVE-2022-27194
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27194 - Référence CVE CVE-2022-25751
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25751 - Référence CVE CVE-2022-25752
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25752 - Référence CVE CVE-2022-25753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25753 - Référence CVE CVE-2022-25754
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25754 - Référence CVE CVE-2022-25755
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25755 - Référence CVE CVE-2022-25756
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25756 - Référence CVE CVE-2022-26334
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26334 - Référence CVE CVE-2022-26335
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26335 - Référence CVE CVE-2022-26380
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26380 - Référence CVE CVE-2022-25650
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25650 - Référence CVE CVE-2022-28661
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28661 - Référence CVE CVE-2022-28662
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28662 - Référence CVE CVE-2022-28663
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28663
- Vues : 258