Accueil > Alertes CERT-MC > AVIS CERTFR - 2020 - AVI - 077

AVIS CERTFR - 2020 - AVI - 077

Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens de variante SIPLUS

Référence : CERTFR-2020-AVI-077

Risque(s)

- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

- CP 1543-1 variante SIPLUS versions antérieures à 2.0.28
- CP 343-1 Lean / CP-343-1 variante SIPLUS versions antérieures à 3.1.1
- CP 443-1 / CP 443-1 Advanced variante SIPLUS versions antérieures à 3.2.9
- CP 343-1 Advanced variante SIPLUS versions antérieures à 3.0.44
- SCALANCE X-300 variante SIPLUS versions antérieures à 4.1.2
- SCALANCE X414-3E variante SIPLUS versions antérieures à 3.7.1
- SIMATIC S7-1200 CPU variante SIPLUS versions antérieures à 4.1.3
- SIMATIC S7-1500 CPU variante SIPLUS versions antérieures à 2.5
- SIMATIC S7-300 CPU avec support PROFINET variante SIPLUS versions antérieures à 3.X.16
- SIMATIC S7-300 CPU sans support PROFINET variante SIPLUS versions antérieures à 3.X.16
- SIMATIC S7-410 CPU variante SIPLUS variante SIPLUS versions antérieures à 8.2.1
- SIMATIC S7-400 DP V7 CPU variante SIPLUS toutes versions
- SIMATIC S7-400 PN/DP V6 variante SIPLUS toutes versions
- SIMATIC S7-400 H V6 CPU variante SIPLUS versions antérieures à 6.0.9
- SIMOTION D4xx V4.4 pour SINAMICS SM150i-2 avec PROFINET variante SIPLUS versions antérieures à 4.4 H26
- IM 3V-IE / TIM 3V-IE Advanced variante SIPLUS versions antérieures à 2.6.0
- TIM 3V-IE DNP3 variante SIPLUS versions antérieures à 3.1.0
- TIM 4R-IE variante SIPLUS versions antérieures à 2.6.0
- TIM 4R-IE DNP3 variante SIPLUS versions antérieures à 3.1.0

Résumé

Cet avis concerne une mise à jour en date du 10 février 2020 de 22 avis Siemens (cf. section documentation). Les avis Siemens listent désormais les variantes SIPLUS parmi les systèmes affectés. De multiples vulnérabilités ont été découvertes dans les produits Siemens …

Solution

De multiples vulnérabilités ont été découvertes dans les produits Siemens de variante SIPLUS. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Documentation

 

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-077/

AVIS CERTFR - 2020 - AVI - 109

21 février 2020
actualite

Objet : Multiples vulnérabilités dans Nagios XIRéférence : CERTFR-2020-AVI-109Risque(s) - Exécution de code arbitraire- Injection de code indirecte... Lire la suite[+]

AVIS CERTFR - 2020 - AVI - 108

21 février 2020
actualite

Objet : Multiples vulnérabilités dans Stormshield Network SecurityRéférence : CERTFR-2020-AVI-108Risque(s) - Exécution de code arbitraire à distanc... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC oiv
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2020-AVI-077