Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 1001

AVIS CERTFR - 2022 - AVI - 1001

Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2022-AVI-1001

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

- Parasolid versions antérieures à V34.0.254
- Parasolid versions antérieures à V34.1.244
- Parasolid versions antérieures à V35.0.184
- POWER METER SICAM Q100 (7KG9501-0AA01-2AA1) versions antérieures à V2.50
- POWER METER SICAM Q100 (7KG9501-0AA31-2AA1) versions antérieures à V2.50
- QMS Automotive toutes versions
- RUGGEDCOM ROS toutes versions
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) toutes versions
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) toutes versions
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) toutes versions
- SIMATIC Drive Controller family toutes versions
- SIMATIC ET 200pro IM154-8F PN/DP CPU (6ES7154-8FB01-0AB0) versions antérieures à V3.2.19
- SIMATIC ET 200pro IM154-8FX PN/DP CPU (6ES7154-8FX00-0AB0) versions antérieures à V3.2.19
- SIMATIC ET 200pro IM154-8 PN/DP CPU (6ES7154-8AB01-0AB0) versions antérieures à V3.2.19
- SIMATIC ET 200S IM151-8F PN/DP CPU (6ES7151-8FB01-0AB0) versions antérieures à V3.2.19
- SIMATIC ET 200S IM151-8 PN/DP CPU (6ES7151-8AB01-0AB0) versions antérieures à V3.2.19
- SIMATIC PC Station versions antérieures à V2.1
- SIMATIC S7-1200 CPU family (incl. SIPLUS variants) toutes versions
- SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) toutes versions
- SIMATIC S7-1500 Software Controller toutes versions
- SIMATIC S7-300 CPU 314C-2 PN/DP (6ES7314-6EH04-0AB0) versions antérieures à V3.3.19
- SIMATIC S7-300 CPU 315-2 PN/DP (6ES7315-2EH14-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 315F-2 PN/DP (6ES7315-2FJ14-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 315T-3 PN/DP (6ES7315-7TJ10-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 317-2 PN/DP (6ES7317-2EK14-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 317F-2 PN/DP (6ES7317-2FK14-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 317T-3 PN/DP (6ES7317-7TK10-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 317TF-3 PN/DP (6ES7317-7UL10-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 319-3 PN/DP (6ES7318-3EL01-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-300 CPU 319F-3 PN/DP (6ES7318-3FL01-0AB0) versions antérieures à V3.2.19
- SIMATIC S7-400 PN/DP V6 CPU family (incl. SIPLUS variants) toutes versions
- SIMATIC S7-400 PN/DP V7 CPU family (incl. SIPLUS variants) toutes versions
- SIMATIC S7-PLCSIM Advanced toutes versions
- SIMATIC WinCC Runtime Advanced toutes versions
- SINUMERIK MC toutes versions
- SINUMERIK ONE toutes versions
- SINUMERIK ONE toutes versions
- SIPLUS ET 200S IM151-8F PN/DP CPU (6AG1151-8FB01-2AB0) versions antérieures à V3.2.19
- SIPLUS ET 200S IM151-8 PN/DP CPU (6AG1151-8AB01-7AB0) versions antérieures à V3.2.19
- SIPLUS S7-300 CPU 314C-2 PN/DP (6AG1314-6EH04-7AB0) versions antérieures à V3.3.19
- SIPLUS S7-300 CPU 315-2 PN/DP (6AG1315-2EH14-7AB0) versions antérieures à V3.2.19
- SIPLUS S7-300 CPU 315F-2 PN/DP (6AG1315-2FJ14-2AB0) versions antérieures à V3.2.19
- SIPLUS S7-300 CPU 317-2 PN/DP (6AG1317-2EK14-7AB0) versions antérieures à V3.2.19
- SIPLUS S7-300 CPU 317F-2 PN/DP (6AG1317-2FK14-2AB0) versions antérieures à V3.2.19
- SINEC NMS versions antérieures à 1.0.3
- JT2Go versions antérieures à V14.1.0.4
- Teamcenter Visualization V13.3 versions antérieures à V13.3.0.7
- Teamcenter Visualization V14.0 versions antérieures à V14.0.0.3
- Teamcenter Visualization V14.1 versions antérieures à V14.1.0.4

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens 853037 du 8 novembre 2022 https://cert-portal.siemens.com/productcert/html/ssa-853037.html  
- Bulletin de sécurité Siemens 787941 du 8 novembre 2022 https://cert-portal.siemens.com/productcert/html/ssa-787941.html  
- Bulletin de sécurité Siemens 587547 du 8 novembre 2022 https://cert-portal.siemens.com/productcert/html/ssa-587547.html  
- Bulletin de sécurité Siemens 570294 du 8 novembre 2022 https://cert-portal.siemens.com/productcert/html/ssa-570294.html  
- Bulletin de sécurité Siemens 568428 du 8 novembre 2022 https://cert-portal.siemens.com/productcert/html/ssa-568428.html  
- Bulletin de sécurité Siemens 506569 du 8 novembre 2022 https://cert-portal.siemens.com/productcert/html/ssa-506569.html  
- Bulletin de sécurité Siemens 478960 du 8 novembre 2022 https://cert-portal.siemens.com/productcert/html/ssa-478960.html  
- Bulletin de sécurité Siemens 371761 du 8 novembre 2022 https://cert-portal.siemens.com/productcert/html/ssa-371761.html  
- Bulletin de sécurité Siemens 120378 du 8 novembre 2022 https://cert-portal.siemens.com/productcert/html/ssa-120378.html  
- Référence CVE CVE-2022-39157
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39157  
- Référence CVE CVE-2022-43397
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43397  
- Référence CVE CVE-2022-39158
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39158  
- Référence CVE CVE-2022-43958
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43958  
- Référence CVE CVE-2022-43398
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43398  
- Référence CVE CVE-2022-43439
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43439  
- Référence CVE CVE-2022-43545
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43545  
- Référence CVE CVE-2022-43546
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43546  
- Référence CVE CVE-2022-38465
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38465  
- Référence CVE CVE-2002-20001
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-20001  
- Référence CVE CVE-2022-37885
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37885  
- Référence CVE CVE-2022-37886
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37886  
- Référence CVE CVE-2022-37887
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37887  
- Référence CVE CVE-2022-37888
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37888  
- Référence CVE CVE-2022-37889
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37889  
- Référence CVE CVE-2022-37890
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37890  
- Référence CVE CVE-2022-37891
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37891  
- Référence CVE CVE-2022-37892
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37892  
- Référence CVE CVE-2022-37893
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37893  
- Référence CVE CVE-2022-37894
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37894  
- Référence CVE CVE-2022-37895
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37895  
- Référence CVE CVE-2022-37896
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37896  
- Référence CVE CVE-2022-30694
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30694  
- Référence CVE CVE-2021-42550
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42550  
- Référence CVE CVE-2022-39136
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39136  
- Référence CVE CVE-2022-41660
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41660  
- Référence CVE CVE-2022-41661
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41661  
- Référence CVE CVE-2022-41662
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41662  
- Référence CVE CVE-2022-41663
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41663  
- Référence CVE CVE-2022-41664
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41664  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-1001/  

 

AVIS CERTFR - 2022 - AVI - 1069

01 décembre 2022
actualite

Objet : Multiples vulnérabilités dans les produits IBMRéférence : CERTFR-2022-AVI-1069Risque(s) - Exécution de code arbitraire à distance - Injecti... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 1068

01 décembre 2022
actualite

Objet : Vulnérabilité dans Mozilla ThunderbirdRéférence : CERTFR-2022-AVI-1068Risque(s)- Contournement de la politique de sécuritéSystèmes affectés... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-1001