Accueil > Alertes CERT-MC > AVIS CERTFR - 2021 - AVI - 706

AVIS CERTFR - 2021 - AVI - 706

Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2021-AVI-706

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- Simcenter STAR-CCM+ Viewer versions antérieures à V2021.2.1
- RUGGEDCOM ROX MX5000 versions antérieures à V2.14.1
- RUGGEDCOM ROX RX1400 versions antérieures à V2.14.1
- RUGGEDCOM ROX RX1500 versions antérieures à V2.14.1
- RUGGEDCOM ROX RX1501 versions antérieures à V2.14.1
- RUGGEDCOM ROX RX1510 versions antérieures à V2.14.1
- RUGGEDCOM ROX RX1511 versions antérieures à V2.14.1
- RUGGEDCOM ROX RX1512 versions antérieures à V2.14.1
- RUGGEDCOM ROX RX1524 versions antérieures à V2.14.1
- RUGGEDCOM ROX RX1536 versions antérieures à V2.14.1
- RUGGEDCOM ROX RX5000 versions antérieures à V2.14.1
- NX 1980 Series versions antérieures à V1984
- SIMATIC RF350M toutes versions
- SIMATIC RF650M toutes versions
- LOGO! CMR2020 versions antérieures à V2.2
- LOGO! CMR2040 versions antérieures à V2.2
- SIMATIC RTU 3000 family toutes versions
- SINEC NMS versions antérieures à V1.0 SP1
- SINEMA Remote Connect Server versions antérieures à V3.0 SP2
- Teamcenter Active Workspace V4.3 versions antérieures à V4.3.10
- Teamcenter Active Workspace V5.0 versions antérieures à V5.0.8
- Teamcenter Active Workspace V5.1 versions antérieures à V5.1.5
- Teamcenter Active Workspace V5.2 versions antérieures à V5.2.1
- Cerberus DMS V4.0 toutes versions
- Cerberus DMS V4.1 toutes versions
- Cerberus DMS V4.2 toutes versions
- Cerberus DMS V5.0 versions antérieures à v5.0 QU1
- Desigo CC Compact V4.0 toutes versions
- Desigo CC Compact V4.1 toutes versions
- Desigo CC Compact V4.2 toutes versions
- Desigo CC Compact V5.0 versions antérieures à V5.0 QU1
- Desigo CC V4.0 toutes versions
- Desigo CC V4.1 toutes versions
- Desigo CC V4.2 toutes versions
- Desigo CC V5.0 versions antérieures à V5.0 QU1
- SIPROTEC 5 relays with CPU variants CP050 versions antérieures à V8.80
- SIPROTEC 5 relays with CPU variants CP100 versions antérieures à V8.80
- SIPROTEC 5 relays with CPU variants CP200 toutes versions
- SIPROTEC 5 relays with CPU variants CP300 versions antérieures à V8.80
- Desigo CC toutes versions with OIS Extension Module
- GMA-Manager toutes versions with OIS running on Debian 9 or earlier
- Operation Scheduler toutes versions with OIS running on Debian 9 or earlier
- Siveillance Control toutes versions with OIS running on Debian 9 or earlier
- Siveillance Control Pro toutes versions
- SIMATIC CP 1543-1 (incl. SIPLUS variants) versions antérieures à V3.0
- SIMATIC CP 1545-1 toutes versions
- SIMATIC CP 343-1 (incl. SIPLUS variants) toutes versions
- SIMATIC CP 343-1 Advanced (incl. SIPLUS variants) toutes versions
- SIMATIC CP 343-1 ERPC toutes versions
- SIMATIC CP 343-1 Lean (incl. SIPLUS variants) toutes versions
- SIMATIC CP 443-1 (incl. SIPLUS variants) toutes versions
- SIMATIC CP 443-1 Advanced (incl. SIPLUS variants) toutes versions
- SCALANCE X200-4P IRT toutes versions
- SCALANCE X201-3P IRT toutes versions
- SCALANCE X201-3P IRT PRO toutes versions
- SCALANCE X202-2 IRT toutes versions
- SCALANCE X202-2P IRT (incl. SIPLUS NET variant) toutes versions
- SCALANCE X202-2P IRT PRO toutes versions
- SCALANCE X204 IRT toutes versions
- SCALANCE X204 IRT PRO toutes versions
- SCALANCE X204-2 (incl. SIPLUS NET variant) versions antérieures à V5.2.5
- SCALANCE X204-2FM versions antérieures à V5.2.5
- SCALANCE X204-2LD (incl. SIPLUS NET variant) versions antérieures à V5.2.5
- SCALANCE X204-2LD TS versions antérieures à V5.2.5
- SCALANCE X204-2TS versions antérieures à V5.2.5
- SCALANCE X206-1 versions antérieures à V5.2.5
- SCALANCE X206-1LD versions antérieures à V5.2.5
- SCALANCE X208 (incl. SIPLUS NET variant) versions antérieures à V5.2.5
- SCALANCE X208PRO versions antérieures à V5.2.5
- SCALANCE X212-2 (incl. SIPLUS NET variant) versions antérieures à V5.2.5
- SCALANCE X212-2LD versions antérieures à V5.2.5
- SCALANCE X216 versions antérieures à V5.2.5
- SCALANCE X224 versions antérieures à V5.2.5
- SCALANCE X302-7 EEC toutes versions
- SCALANCE X304-2FE toutes versions
- SCALANCE X306-1LD FE toutes versions
- SCALANCE X307-2 EEC toutes versions
- SCALANCE X307-3 toutes versions
- SCALANCE X307-3LD toutes versions
- SCALANCE X308-2 (incl. SIPLUS NET variant) toutes versions
- SCALANCE X308-2LD toutes versions
- SCALANCE X308-2LH toutes versions
- SCALANCE X308-2LH+ toutes versions
- SCALANCE X308-2M toutes versions
- SCALANCE X308-2M PoE toutes versions
- SCALANCE X308-2M TS toutes versions
- SCALANCE X310 toutes versions
- SCALANCE X310FE toutes versions
- SCALANCE X320-1 FE toutes versions
- SCALANCE X320-1-2LD FE toutes versions
- SCALANCE X408-2 toutes versions
- SCALANCE XF201-3P IRT toutes versions
- SCALANCE XF202-2P IRT toutes versions
- SCALANCE XF204 versions antérieures à V5.2.5
- SCALANCE XF204 IRT toutes versions
- SCALANCE XF204-2 (incl. SIPLUS NET variant) versions antérieures à V5.2.5
- SCALANCE XF204-2BA IRT toutes versions
- SCALANCE XF206-1 versions antérieures à V5.2.5
- SCALANCE XF208 versions antérieures à V5.2.5
- SCALANCE XR324-4M EEC toutes versions
- SCALANCE XR324-4M PoE toutes versions
- SCALANCE XR324-4M PoE TS toutes versions
- SCALANCE XR324-12M toutes versions
- SCALANCE XR324-12M TS toutes versions
- Industrial Edge Management versions antérieures à V1.3
- LOGO! CMR2020 versions antérieures à V2.2
- LOGO! CMR2040 versions antérieures à V2.2
- SIMATIC RTU 3000 family toutes versions
- SINEMA Server versions antérieures à V14 SP3
- SIPROTEC 5 relays with CPU variants CP050 versions antérieures à V8.80
- SIPROTEC 5 relays with CPU variants CP100 versions antérieures à V8.80
- SIPROTEC 5 relays with CPU variants CP200 toutes versions
- SIPROTEC 5 relays with CPU variants CP300 versions antérieures à V8.80
- APOGEE MBC (PPC) (P2 Ethernet) toutes versions >= V2.6.3
- APOGEE MEC (PPC) (P2 Ethernet) toutes versions >= V2.6.3
- APOGEE PXC Compact (BACnet) versions antérieures à V3.5.3
- APOGEE PXC Compact (P2 Ethernet) toutes versions >= V2.8
- APOGEE PXC Modular (BACnet) versions antérieures à V3.5.3
- APOGEE PXC Modular (P2 Ethernet) toutes versions >= V2.8
- TALON TC Compact (BACnet) versions antérieures à V3.5.3
- TALON TC Modular (BACnet) versions antérieures à V3.5.3
- Teamcenter V12.4 versions antérieures à V12.4.0.8
- Teamcenter V13.0 versions antérieures à V13.0.0.7
- Teamcenter V13.1 versions antérieures à V13.1.0.5
- Teamcenter V13.2 versions antérieures à 13.2.0.2
- Simcenter Femap V2020.2 toutes versions
- Simcenter Femap V2021.1 toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens ssa-109294 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-109294.pdf  
- Bulletin de sécurité Siemens ssa-150692 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-150692.pdf  
- Bulletin de sécurité Siemens ssa-288459 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-288459.pdf  
- Bulletin de sécurité Siemens ssa-316383 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-316383.pdf  
- Bulletin de sécurité Siemens ssa-330339 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-330339.pdf  
- Bulletin de sécurité Siemens ssa-208530 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-208530.pdf  
- Bulletin de sécurité Siemens ssa-334944 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-334944.pdf  
- Bulletin de sécurité Siemens ssa-413407 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-413407.pdf  
- Bulletin de sécurité Siemens ssa-453715 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-453715.pdf  
- Bulletin de sécurité Siemens ssa-500748 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-500748.pdf  
- Bulletin de sécurité Siemens ssa-535380 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-535380.pdf  
- Bulletin de sécurité Siemens ssa-535997 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-535997.pdf  
- Bulletin de sécurité Siemens ssa-549234 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-549234.pdf  
- Bulletin de sécurité Siemens ssa-676336 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-676336.pdf  
- Bulletin de sécurité Siemens ssa-692317 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-692317.pdf  
- Bulletin de sécurité Siemens ssa-756638 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-756638.pdf  
- Bulletin de sécurité Siemens ssa-835377 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-835377.pdf  
- Bulletin de sécurité Siemens ssa-847986 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-847986.pdf  
- Bulletin de sécurité Siemens ssa-944498 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-944498.pdf  
- Bulletin de sécurité Siemens ssa-987403 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-987403.pdf  
- Bulletin de sécurité Siemens ssa-997732 du 14 septembre 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-997732.pdf  
- Référence CVE CVE-2021-25665
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25665  
- Référence CVE CVE-2021-37173
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37173  
- Référence CVE CVE-2021-37174
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37174  
- Référence CVE CVE-2021-37175
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37175  
- Référence CVE CVE-2021-37202
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37202  
- Référence CVE CVE-2021-37203
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37203  
- Référence CVE CVE-2020-7461
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7461  
- Référence CVE CVE-2021-37186
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37186  
- Référence CVE CVE-2021-37200
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37200  
- Référence CVE CVE-2021-37201
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37201  
- Référence CVE CVE-2021-37177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37177  
- Référence CVE CVE-2021-37183
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37183  
- Référence CVE CVE-2021-37190
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37190  
- Référence CVE CVE-2021-37191
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37191  
- Référence CVE CVE-2021-37192
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37192  
- Référence CVE CVE-2021-37193
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37193  
- Référence CVE CVE-2021-40357
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40357  
- Référence CVE CVE-2021-37181
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37181  
- Référence CVE CVE-2021-37206
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37206  
- Référence CVE CVE-2021-31891
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31891  
- Référence CVE CVE-2021-33716
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33716  
- Référence CVE CVE-2021-33737
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33737  
- Référence CVE CVE-2016-10708
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10708  
- Référence CVE CVE-2016-10011
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10011  
- Référence CVE CVE-2021-37184
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37184  
- Référence CVE CVE-2020-36475
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36475  
- Référence CVE CVE-2020-36478
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36478  
- Référence CVE CVE-2019-10941
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10941  
- Référence CVE CVE-2021-33719
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33719  
- Référence CVE CVE-2021-33720
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33720  
- Référence CVE CVE-2021-27391
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27391  
- Référence CVE CVE-2021-40354
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40354  
- Référence CVE CVE-2021-40355
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40355  
- Référence CVE CVE-2021-40356
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40356  
- Référence CVE CVE-2021-37176
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37176  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-706/  

 

 

AVIS CERTFR - 2021 - AVI - 819

25 octobre 2021
actualite

Objet : Multiples vulnérabilités dans les produits NextcloudRéférence : CERTFR-2021-AVI-819Risque(s) - Contournement de la politique de sécurité -... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 818

22 octobre 2021
actualite

Objet : Vulnérabilité dans Pulse Connect SecureRéférence : CERTFR-2021-AVI-818Risque(s)- Déni de service à distanceSystèmes affectés- Pulse Connect... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2021-AVI-706