Accueil > Alertes CERT-MC > AVIS CERTFR - 2023 - AVI - 0015

AVIS CERTFR - 2023 - AVI - 0015

Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2023-AVI-0015

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SINEC INS versions antérieures à V1.0 SP2 Update 1
- Development/Evaluation Kits for PROFINET IO: DK Standard Ethernet Controller versions antérieures à V4.1.1 Patch 05
- Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200 versions antérieures à V4.5.0 Patch 01
- Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200P versions antérieures à V4.5.0
- SCALANCE X-200IRT switch family (incl. SIPLUS NET variants) versions antérieures à V5.4.2
- De nombreux produits SIMATIC, SIMOTION, SINAMICS, SINUMERIK et SIPLUS (Se référer au bulletin de sécurité de l'éditeur pour les versions affectées)
- Automation License Manager V5
- Automation License Manager versions V6 antérieures à V6 SP9 Upd4
- Mendix SAML (Mendix 8 compatible) versions V2.3.x antérieures à V2.3.4
- Mendix SAML (Mendix 9 compatible, New Track) versions V3.3.x antérieures à V3.3.9
- Mendix SAML (Mendix 9 compatible, Upgrade Track) versions V3.3.x antérieures à V3.3.8
- JT Open versions antérieures à V11.1.1.0
- JT Open versions antérieures à V13.1.1.0
- Solid Edge versions antérieures à V2023 MP1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens ssa-332410 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-332410.html
- Bulletin de sécurité Siemens ssa-349422 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-349422.html
- Bulletin de sécurité Siemens ssa-431678 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-431678.html
- Bulletin de sécurité Siemens ssa-476715 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-476715.html
- Bulletin de sécurité Siemens ssa-482757 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-482757.html
- Bulletin de sécurité Siemens ssa-496604 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-496604.html
- Bulletin de sécurité Siemens ssa-592007 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-592007.html
- Bulletin de sécurité Siemens ssa-936212 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-936212.html
- Bulletin de sécurité Siemens ssa-997779 du 10 janvier 2023
https://cert-portal.siemens.com/productcert/html/ssa-997779.html
- Référence CVE CVE-2022-2068
https://www.cve.org/CVERecord?id=CVE-2022-2068
- Référence CVE CVE-2022-1292
https://www.cve.org/CVERecord?id=CVE-2022-1292
- Référence CVE CVE-2022-2097
https://www.cve.org/CVERecord?id=CVE-2022-2097
- Référence CVE CVE-2022-2274
https://www.cve.org/CVERecord?id=CVE-2022-2274
- Référence CVE CVE-2022-32212
https://www.cve.org/CVERecord?id=CVE-2022-32212
- Référence CVE CVE-2022-32213
https://www.cve.org/CVERecord?id=CVE-2022-32213
- Référence CVE CVE-2022-32215
https://www.cve.org/CVERecord?id=CVE-2022-32215
- Référence CVE CVE-2022-32222
https://www.cve.org/CVERecord?id=CVE-2022-32222
- Référence CVE CVE-2022-35255
https://www.cve.org/CVERecord?id=CVE-2022-35255
- Référence CVE CVE-2022-35256
https://www.cve.org/CVERecord?id=CVE-2022-35256
- Référence CVE CVE-2022-45092
https://www.cve.org/CVERecord?id=CVE-2022-45092
- Référence CVE CVE-2022-45093
https://www.cve.org/CVERecord?id=CVE-2022-45093
- Référence CVE CVE-2022-45094
https://www.cve.org/CVERecord?id=CVE-2022-45094
- Référence CVE CVE-2019-10923
https://www.cve.org/CVERecord?id=CVE-2019-10923
- Référence CVE CVE-2019-13940
https://www.cve.org/CVERecord?id=CVE-2019-13940
- Référence CVE CVE-2022-43513
https://www.cve.org/CVERecord?id=CVE-2022-43513
- Référence CVE CVE-2022-43514
https://www.cve.org/CVERecord?id=CVE-2022-43514
- Référence CVE CVE-2022-38773
https://www.cve.org/CVERecord?id=CVE-2022-38773
- Référence CVE CVE-2022-46823
https://www.cve.org/CVERecord?id=CVE-2022-46823
- Référence CVE CVE-2018-4843
https://www.cve.org/CVERecord?id=CVE-2018-4843
- Référence CVE CVE-2021-44002
https://www.cve.org/CVERecord?id=CVE-2021-44002
- Référence CVE CVE-2021-44014
https://www.cve.org/CVERecord?id=CVE-2021-44014
- Référence CVE CVE-2022-47935
https://www.cve.org/CVERecord?id=CVE-2022-47935
- Référence CVE CVE-2022-47967
https://www.cve.org/CVERecord?id=CVE-2022-47967

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0015/

AVIS CERTFR - 2023 - AVI - 0063

26 janvier 2023
actualite

Objet : Vulnérabilité dans GrafanaRéférence : CERTFR-2023-AVI-0063Risque(s)- Élévation de privilègesSystèmes affectés - Grafana versions 9.3.x anté... Lire la suite[+]

AVIS CERTFR - 2023 - AVI - 0062

26 janvier 2023
actualite

Objet : Vulnérabilité dans Xen libxlRéférence : CERTFR-2023-AVI-0062Risque(s)- Déni de service à distanceSystèmes affectés- Xen versions 4.17.x san... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2023-AVI-0015