Accueil > Alertes CERT-MC > AVIS CERTFR - 2020 - AVI - 800

AVIS CERTFR - 2020 - AVI - 800

Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2020-AVI-800

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

- RFID 181EIP toutes versions
- RUGGEDCOM Win versions antérieures à 5.2
- SCALANCE X-200 switch family (incl. SIPLUSNET variants) versions antérieures à 5.2.3
- SCALANCE X-200IRT switch family (incl. SIPLUSNET variants) versions antérieures à 5.4.1
- SCALANCE X-200RNA switch family versions antérieures à 3.2.6
- SCALANCE X-300 switch family (incl. SIPLUSNET variants) versions antérieures à 4.1.3
- SCALANCE X408 versions antérieures à V4.1.3
- SCALANCE X414 toutes versions
- SIMATIC RF182C toutes versions
- XHQ versions antérieures à 6.1
- SIMATIC ET 200SP Open Controller(incl. SIPLUS variants) version 20.8
- SIMATIC S7-1500 Software Controller versions 20.8
- SENTRON PAC3200 versions antérieures à 2.4.5
- SENTRON PAC4200 versions antérieures à 2.0.1
- SIRIUS 3RW5 communication module ModbusTCP toutes versions
- LOGO! 8 BM (incl. SIPLUS variants) versions antérieures à 8.3
- LOGO! Soft Comfort versions antérieures à 8.3
- SICAM A8000 CP-8000 versions antérieures à 16
- SICAM A8000 CP-8021 versions antérieures à 16
- SICAM A8000 CP-8022 versions antérieures à 16
- SIMATIC HMI Comfort Outdoor Panels 7" & 15"(incl. SIPLUS variants) versions antérieures à la 16 sans le correctif numéro 3
- SIMATIC HMI Comfort Panels 4" - 22"(incl. SIPLUS variants) versions antérieures à la 16 sans le correctif numéro 3
- SIMATIC HMI KTP Mobile Panels KTP400F,KTP700, KTP700F, KTP900 and KTP900F versions antérieures à la 16 sans le correctif numéro 3
- SIMATIC ITC1500 V3.1 toutes versions
- SIMATIC ITC1500 V3.1 PRO toutes versions
- SIMATIC ITC1900 V3.1 toutes versions
- SIMATIC ITC1900 V3.1 PRO toutes versions
- SIMATIC ITC2200 V3.1 toutes versions
- SIMATIC ITC2200 V3.1 PRO toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Siemens ssa-181018 du 8 décembre 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-181018.pdf  
Bulletin de sécurité Siemens ssa-712690 du 8 décembre 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-712690.pdf  
Bulletin de sécurité Siemens ssa-700697 du 8 décembre 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-700697.pdf  
Bulletin de sécurité Siemens ssa-541017 du 8 décembre 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-541017.pdf  
Bulletin de sécurité Siemens ssa-480824 du 8 décembre 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-480824.pdf  
Bulletin de sécurité Siemens ssa-478893 du 8 décembre 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-478893.pdf  
Bulletin de sécurité Siemens ssa-415783 du 8 décembre 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-415783.pdf  

Référence CVE CVE-2018-4833
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-4833  

Référence CVE CVE-2019-19283
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19283  

Référence CVE CVE-2019-19284
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19284  

Référence CVE CVE-2019-19285
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19285  

Référence CVE CVE-2019-19286
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19286  

Référence CVE CVE-2019-19287
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19287  

Référence CVE CVE-2019-19288
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19288  

Référence CVE CVE-2019-19289
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19289  

Référence CVE CVE-2020-15796
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15796  

Référence CVE CVE-2020-13988
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13988  

Référence CVE CVE-2020-25228
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25228  

Référence CVE CVE-2020-25229
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25229  

Référence CVE CVE-2020-25230
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25230  

Référence CVE CVE-2020-25231
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25231  

Référence CVE CVE-2020-25232
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25232  

Référence CVE CVE-2020-25233
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25233  

Référence CVE CVE-2020-25234
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25234  

Référence CVE CVE-2020-25235
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25235  

Référence CVE CVE-2019-15678
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15678  

Référence CVE CVE-2019-15679
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15679  

Référence CVE CVE-2019-15680
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15680  

Référence CVE CVE-2019-8287
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8287  

Référence CVE CVE-2020-28396
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28396  

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-800/

AVIS CERTFR - 2021 - AVI - 039

18 janvier 2021
actualite

Objet : Vulnérabilité dans Juniper Junos OSRéférence : CERTFR-2021-AVI-39Risque(s)- Atteinte à la confidentialité des donnéesSystèmes affectés - Ju... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 038

15 janvier 2021
actualite

Objet : Multiples vulnérabilités dans Juniper Junos OSRéférence : CERTFR-2021-AVI-038Risque(s)- Élévation de privilègesSystèmes affectés- Junos OS... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2020-AVI-800