Accueil > Alertes CERT-MC > AVIS CERTFR - 2020 - AVI - 439

AVIS CERTFR - 2020 - AVI - 439

Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2020-AVI-439

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
- Atteinte à la confidentialité des données
- Atteinte à l'intégrité des données

Systèmes affectés

- Opcenter Execution Discrete versions antérieures à v3.2
- Opcenter Execution Foundation versions antérieures à v3.2
- Opcenter Execution Process versions antérieures à v3.2
- Opcenter Execution Core versions antérieures à v8.2
- Opcenter Intelligence
- Opcenter Quality versions antérieures à 11.3
- Opcenter RD&L versions antérieures à 8.1
- Camstar Enterprise Platform : une migration vers Opcenter Execution Core 8.2 est requise
- SIMATIC IT LMS, Production Suite, Notifier Server for Windows, PCS neo
- SIMATIC STEP 7 (TIA Portal) v15
- SIMATIC STEP 7 (TIA Portal) v16 versions antérieures à V16 update 2
- SIMOCODE ES et Soft Starter ES
- SPPA-T3000 Application Server et Terminal Server
- SPPA-T3000 APC UPS avec carte NMC AP9630 ou AP9631
- SIMATIC S7-200 SMART CPU versions antérieures à V2.5.1
- LOGO! 8 BM (incl. variantes SIPLUS) versions antérieures à V1.81.04
- LOGO! 8 BM (incl. variantes SIPLUS) versions antérieures à V1.82.03
- LOGO! 8 BM (incl. variantes SIPLUS) versions antérieures à V1.82.04
- SIMATIC S7-300 CPU (incl. variantes ET200CPUs et SIPLUS) versions antérieures à V3.X.17
- SIMATIC TDC CP51M1 versions antérieures à V1.1.8
- SIMATIC TDC CPU555 versions antérieures à V1.1.1
- SINUMERIK 840D sl versions antérieures à V4.8.6
- SINUMERIK 840D sl versions antérieures à V4.94
- SIMATIC HMI Basic Panels première et seconde génération, Comfort Panels, Mobile Panels de seconde génération (incl. variantes SIPLUS)
- SIMATIC HMI KTP700F Mobile Arctic
- SIMATIC WinCC Runtime Advanced
- SICAM MMU versions antérieures à V2.05
- SICAM SGU
- SICAM T versions antérieures à V2.18

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens SSA-841348 du 14 juillet 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-841348.pdf
- Bulletin de sécurité Siemens SSA-631949 du 14 juillet 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-631949.pdf
- Bulletin de sécurité Siemens SSA-604937 du 14 juillet 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-604937.pdf
- Bulletin de sécurité Siemens SSA-589181 du 14 juillet 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-589181.pdf
- Bulletin de sécurité Siemens SSA-573753 du 14 juillet 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-573753.pdf
- Bulletin de sécurité Siemens SSA-508982 du 10 mars 2020, mis à jour le 14 juillet 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-508982.pdf
- Bulletin de sécurité Siemens SSA-364335 du 14 juillet 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-364335.pdf
- Bulletin de sécurité Siemens SSA-305120 du 14 juillet 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-305120.pdf
- Référence CVE CVE-2020-7581
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7581
- Référence CVE CVE-2020-7587
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7587
- Référence CVE CVE-2020-7588
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7588
- Référence CVE CVE-2020-11896
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11896
- Référence CVE CVE-2020-0545
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0545
- Référence CVE CVE-2020-7576
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7576
- Référence CVE CVE-2020-7577
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7577
- Référence CVE CVE-2020-7578
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7578
- Référence CVE CVE-2020-7584
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7584
- Référence CVE CVE-2020-7593
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7593
- Référence CVE CVE-2019-18336
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18336
- Référence CVE CVE-2020-7592
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7592
- Référence CVE CVE-2020-10037
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10037
- Référence CVE CVE-2020-10038
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10038
- Référence CVE CVE-2020-10039
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10039
- Référence CVE CVE-2020-10040
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10040
- Référence CVE CVE-2020-10041
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10041
- Référence CVE CVE-2020-10042
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10042
- Référence CVE CVE-2020-10043
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10043
- Référence CVE CVE-2020-10044
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10044
- Référence CVE CVE-2020-10045
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10045

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-439/

AVIS CERTFR - 2020 - AVI - 490

10 août 2020
actualite

Objet : Multiples vulnérabilités dans Apache ServerRéférence : CERTFR-2020-AVI-490Risque(s) - Déni de service à distance- Atteinte à la confidentia... Lire la suite[+]

AVIS CERTFR - 2020 - AVI - 489

10 août 2020
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de SUSERéférence : CERTFR-2020-AVI-489Risque(s) - Non spécifié par l'éditeur - Déni de service... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2020-AVI-439