Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 329

AVIS CERTFR - 2022 - AVI - 329

Objet : [SCADA] Multiples vulnérabilités dans les produits SIEMENS

Référence : CERTFR-2022-AVI-329

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- SICAM A8000 CP-8050 (6MF2805-0AA00) versions antérieures à V4.80
- SICAM A8000 CP-8031 (6MF2803-1AA00) versions antérieures à V4.80
- SIMATIC STEP 7 (TIA Portal) V15 toutes versions
- SIMATIC STEP 7 (TIA Portal) versions antérieures à V16 Update 5
- SIMATIC STEP 7 (TIA Portal) versions antérieures à V17 Update 2
- SCALANCE W1788-1 M12 (6GK5788-1GY01-0AA0) versions antérieures à V3.0.0
- SCALANCE W1788-2 EEC M12 (6GK5788-2GY01-0TA0) versions antérieures à V3.0.0
- SCALANCE W1788-2 M12 (6GK5788-2GY01-0AA0) versions antérieures à V3.0.0
- SCALANCE W1788-2IA M12 (6GK5788-2HY01-0AA0) versions antérieures à V3.0.0
- Mendix Applications using Mendix 7 versions antérieures à V7.23.27 (ne corrige pas toutes les CVE)
- Mendix Applications using Mendix 8 versions antérieures à V8.18.14 (ne corrige pas toutes les CVE)
- Mendix Applications using Mendix 9 versions antérieures à V9.12.0
- SIMATIC CFU DIQ (6ES7655-5PX31-1XX0) toutes versions
- SIMATIC CFU PA (6ES7655-5PX11-0XX0) toutes versions
- Gamme SIMATIC S7-300 (y compris CPUs ET200 et variantes SIPLUS) toutes versions
- Gamme SIMATIC S7-400 H V6 (y compris variantes SIPLUS) versions antérieures à V6.0.10
- Gamme SIMATIC S7-400 PN/DP V7 (y compris variantes SIPLUS) toutes versions
- Gamme SIMATIC S7-410 V8 (y compris variantes SIPLUS) toutes versions
- Gamme SIMATIC S7-410 V10 (y compris variantes SIPLUS) toutes versions
- Gamme SIMATIC S7-1500 (y compris CPUs ET200 et variantes SIPLUS) versions antérieures à V2.0.0
- SIMATIC TDC CP51M1 toutes versions
- SIMATIC TDC CPU555 toutes versions
- SIMATIC WinAC RTX toutes versions
- SIMIT Simulation Platform toutes versions
- SIMATIC Energy Manager Basic versions antérieures à V7.3 Update 1
- SIMATIC Energy Manager PRO versions antérieures à V7.3 Update 1
- SIMATIC PCS neo (Administration Console) versions antérieures à V3.1 SP1
- SINETPLAN toutes versions
- TIA Portal V15, V15.1, V16 et V17
- SCALANCE X302-7 EEC versions antérieures à V4.1.4
- SCALANCE X304-2FE (6GK5304-2BD00-2AA3) versions antérieures à V4.1.4
- SCALANCE X306-1LD FE (6GK5306-1BF00-2AA3) versions antérieures à V4.1.4
- SCALANCE X307-2 EEC versions antérieures à V4.1.4
- SCALANCE X307-3 versions antérieures à V4.1.4
- SCALANCE X307-3LD versions antérieures à V4.1.4
- SCALANCE X308-2 versions antérieures à V4.1.4
- SCALANCE X308-2LD versions antérieures à V4.1.4
- SCALANCE X308-2LH versions antérieures à V4.1.4
- SCALANCE X308-2LH+ versions antérieures à V4.1.4
- SCALANCE X308-2M versions antérieures à V4.1.4
- SCALANCE X308-2M PoE versions antérieures à V4.1.4
- SCALANCE X308-2M TS versions antérieures à V4.1.4
- SCALANCE X310 versions antérieures à V4.1.4
- SCALANCE X310FE versions antérieures à V4.1.4
- SCALANCE X320-1 FE (6GK5320-1BD00-2AA3) versions antérieures à V4.1.4
- SCALANCE X320-1-2LD FE (6GK5320-3BF00-2AA3) versions antérieures à V4.1.4
- SCALANCE X408-2 (6GK5408-2FD00-2AA2) versions antérieures à V4.1.4
- SCALANCE XR324-4M EEC versions antérieures à V4.1.4
- SCALANCE XR324-4M PoE TS versions antérieures à V4.1.4
- SCALANCE XR324-12M versions antérieures à V4.1.4
- SCALANCE XR324-12M TS versions antérieures à V4.1.4
- SIPLUS NET SCALANCE X308-2 (6AG1308-2FL10-4AA3) versions antérieures à V4.1.4
- Simcenter Femap versions antérieures à V2022.1.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SIEMENS. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens ssa-316850 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-316850.html
- Bulletin de sécurité Siemens ssa-350757 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-350757.html
- Bulletin de sécurité Siemens ssa-392912 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-392912.html
- Bulletin de sécurité Siemens ssa-414513 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-414513.html
- Bulletin de sécurité Siemens ssa-446448 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-446448.html
- Bulletin de sécurité Siemens ssa-557541 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-557541.html
- Bulletin de sécurité Siemens ssa-655554 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-655554.html
- Bulletin de sécurité Siemens ssa-711829 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-711829.html
- Bulletin de sécurité Siemens ssa-836527 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-836527.html
- Bulletin de sécurité Siemens ssa-870917 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-870917.html
- Bulletin de sécurité Siemens ssa-998762 du 12 avril 2022
https://cert-portal.siemens.com/productcert/html/ssa-998762.html
- Référence CVE CVE-2022-27480
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27480
- Référence CVE CVE-2021-42029
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42029
- Référence CVE CVE-2022-27481
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27481
- Référence CVE CVE-2022-28328
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28328
- Référence CVE CVE-2022-28329
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28329
- Référence CVE CVE-2022-27241
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27241
- Référence CVE CVE-2022-25622
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25622
- Référence CVE CVE-2021-40368
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40368
- Référence CVE CVE-2022-23448
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23448
- Référence CVE CVE-2022-23449
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23449
- Référence CVE CVE-2022-23450
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23450
- Référence CVE CVE-2022-27194
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27194
- Référence CVE CVE-2022-25751
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25751
- Référence CVE CVE-2022-25752
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25752
- Référence CVE CVE-2022-25753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25753
- Référence CVE CVE-2022-25754
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25754
- Référence CVE CVE-2022-25755
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25755
- Référence CVE CVE-2022-25756
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25756
- Référence CVE CVE-2022-26334
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26334
- Référence CVE CVE-2022-26335
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26335
- Référence CVE CVE-2022-26380
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26380
- Référence CVE CVE-2022-25650
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25650
- Référence CVE CVE-2022-28661
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28661
- Référence CVE CVE-2022-28662
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28662
- Référence CVE CVE-2022-28663
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28663

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-329/

AVIS CERTFR - 2022 - AVI - 496

25 mai 2022
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de Red HatRéférence : CERTFR-2022-AVI-496Risque(s)- Exécution de code arbitraire à distanceSys... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 495

25 mai 2022
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de UbuntuRéférence : CERTFR-2022-AVI-495Risque(s) - Exécution de code arbitraire - Déni de ser... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-329