Accueil > Avis de sécurité du CERT-MC et du CERT-FR > CERTFR-2024-AVI-0757_Multiples vulnerabilites dans les produits Siemens

CERTFR-2024-AVI-0757_Multiples vulnerabilites dans les produits Siemens

Objet : Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2024-AVI-0757

Risque(s)

- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Non spécifié par l'éditeur

Système(s) affecté(s)

- SCALANCE W700 802.11 AX versions antérieures à V2.4.0
- SICAM SCC versions antérieures à V10.0
- SIMATIC BATCH V9.1 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC CP 1242-7 V2 (incl. SIPLUS variants) versions antérieures à V3.5.20
- SIMATIC CP 1243-1 (incl. SIPLUS variants) versions antérieures à V3.5.20
- SIMATIC CP 1243-1 DNP3 (incl. SIPLUS variants) versions antérieures à V3.5.20
- SIMATIC CP 1243-1 IEC (incl. SIPLUS variants) versions antérieures à V3.5.20
- SIMATIC CP 1243-7 LTE versions antérieures à V3.5.20
- SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) versions antérieures à V3.5.20
- SIMATIC HMI Comfort Panels (incl. SIPLUS variants) toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
- SIMATIC Information Server 2020 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC Information Server 2022 toutes versions pour la vulnérabilité CVE-2024-33698
- SIMATIC Information Server 2022 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC Information Server 2024 toutes versions pour la vulnérabilité CVE-2024-33698
- SIMATIC IPC DiagBase toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
- SIMATIC IPC DiagMonitor toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
- SIMATIC PCS 7 V9.1 toutes versions
- SIMATIC PCS neo V4.0 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-33698.
- SIMATIC PCS neo V4.1 versions antérieures à V4.1 Update 2
- SIMATIC PCS neo V5.0 toutes versions pour la vulnérabilité CVE-2024-33698
- SIMATIC PCS neo V5.0 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC Process Historian 2020 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC Process Historian 2022 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC Reader RF610R CMIIT (6GT2811-6BC10-2AA0) versions antérieures à V4.2
- SIMATIC Reader RF610R ETSI (6GT2811-6BC10-0AA0) versions antérieures à V4.2
- SIMATIC Reader RF610R FCC (6GT2811-6BC10-1AA0) versions antérieures à V4.2
- SIMATIC Reader RF615R CMIIT (6GT2811-6CC10-2AA0) versions antérieures à V4.2
- SIMATIC Reader RF615R ETSI (6GT2811-6CC10-0AA0) versions antérieures à V4.2
- SIMATIC Reader RF615R FCC (6GT2811-6CC10-1AA0) versions antérieures à V4.2
- SIMATIC Reader RF650R ARIB (6GT2811-6AB20-4AA0) versions antérieures à V4.2
- SIMATIC Reader RF650R CMIIT (6GT2811-6AB20-2AA0) versions antérieures à V4.2
- SIMATIC Reader RF650R ETSI (6GT2811-6AB20-0AA0) versions antérieures à V4.2
- SIMATIC Reader RF650R FCC (6GT2811-6AB20-1AA0) versions antérieures à V4.2
- SIMATIC Reader RF680R ARIB (6GT2811-6AA10-4AA0) versions antérieures à V4.2
- SIMATIC Reader RF680R CMIIT (6GT2811-6AA10-2AA0) versions antérieures à V4.2
- SIMATIC Reader RF680R ETSI (6GT2811-6AA10-0AA0) versions antérieures à V4.2
- SIMATIC Reader RF680R FCC (6GT2811-6AA10-1AA0) versions antérieures à V4.2
- SIMATIC Reader RF685R ARIB (6GT2811-6CA10-4AA0) versions antérieures à V4.2
- SIMATIC Reader RF685R CMIIT (6GT2811-6CA10-2AA0) versions antérieures à V4.2
- SIMATIC Reader RF685R ETSI (6GT2811-6CA10-0AA0) versions antérieures à V4.2
- SIMATIC Reader RF685R FCC (6GT2811-6CA10-1AA0) versions antérieures à V4.2
- SIMATIC RF1140R (6GT2831-6CB00) versions antérieures à V1.1
- SIMATIC RF1170R (6GT2831-6BB00) versions antérieures à V1.1
- SIMATIC RF166C (6GT2002-0EE20) versions antérieures à V2.2
- SIMATIC RF185C (6GT2002-0JE10) versions antérieures à V2.2
- SIMATIC RF186C (6GT2002-0JE20) versions antérieures à V2.2
- SIMATIC RF186CI (6GT2002-0JE50) versions antérieures à V2.2
- SIMATIC RF188C (6GT2002-0JE40) versions antérieures à V2.2
- SIMATIC RF188CI (6GT2002-0JE60) versions antérieures à V2.2
- SIMATIC RF360R (6GT2801-5BA30) versions antérieures à V2.2
- SIMATIC S7-200 SMART toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-43647.
- SIMATIC WinCC Runtime Advanced toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2023-28827, CVE-2023-30755 et CVE-2023-30756.
- SIMATIC WinCC Runtime Professional V17 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-38355.
- SIMATIC WinCC Runtime Professional V18 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC WinCC Runtime Professional V18 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC WinCC Runtime Professional V19 toutes versions pour la vulnérabilité CVE-2024-35783
- SIMATIC WinCC Runtime Professional V19 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC WinCC Runtime Professional V20 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC WinCC V7.4 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-35783.
- SIMATIC WinCC V7.4 toutes versionswith installed WebRH. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-38355.
- SIMATIC WinCC V7.5 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC WinCC V7.5 versions antérieures à V7.5 SP2 Update 18
- SIMATIC WinCC V8.0 toutes versions pour la vulnérabilité CVE-2024-38355
- SIMATIC WinCC V8.0 versions antérieures à V8.0 Update 5
- Totally Integrated Automation Portal (TIA Portal) V16 toutes versions pour la vulnérabilité CVE-2024-33698
- Totally Integrated Automation Portal (TIA Portal) V17 versions antérieures à V17 Update 8
- Totally Integrated Automation Portal (TIA Portal) V18 toutes versions
- Totally Integrated Automation Portal (TIA Portal) V19 toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

- Bulletin de sécurité Siemens SSA-039007 du 10 septembre 2024
https://cert-portal.siemens.com/productcert/html/ssa-039007.html
- Bulletin de sécurité Siemens SSA-423808 du 10 septembre 2024
https://cert-portal.siemens.com/productcert/html/ssa-423808.html
- Bulletin de sécurité Siemens SSA-629254 du 10 septembre 2024
https://cert-portal.siemens.com/productcert/html/ssa-629254.html
- Bulletin de sécurité Siemens SSA-673996 du 10 septembre 2024
https://cert-portal.siemens.com/productcert/html/ssa-673996.html
- Bulletin de sécurité Siemens SSA-721642 du 10 septembre 2024
https://cert-portal.siemens.com/productcert/html/ssa-721642.html
- Bulletin de sécurité Siemens SSA-765405 du 10 septembre 2024
https://cert-portal.siemens.com/productcert/html/ssa-765405.html
- Bulletin de sécurité Siemens SSA-773256 du 10 septembre 2024
https://cert-portal.siemens.com/productcert/html/ssa-773256.html
- Bulletin de sécurité Siemens SSA-969738 du 10 septembre 2024
https://cert-portal.siemens.com/productcert/html/ssa-969738.html
- Référence CVE CVE-2023-28827
https://www.cve.org/CVERecord?id=CVE-2023-28827
- Référence CVE CVE-2023-30755
https://www.cve.org/CVERecord?id=CVE-2023-30755
- Référence CVE CVE-2023-30756
https://www.cve.org/CVERecord?id=CVE-2023-30756
- Référence CVE CVE-2023-44373
https://www.cve.org/CVERecord?id=CVE-2023-44373
- Référence CVE CVE-2024-33698
https://www.cve.org/CVERecord?id=CVE-2024-33698
- Référence CVE CVE-2024-34057
https://www.cve.org/CVERecord?id=CVE-2024-34057
- Référence CVE CVE-2024-35783
https://www.cve.org/CVERecord?id=CVE-2024-35783
- Référence CVE CVE-2024-37990
https://www.cve.org/CVERecord?id=CVE-2024-37990
- Référence CVE CVE-2024-37991
https://www.cve.org/CVERecord?id=CVE-2024-37991
- Référence CVE CVE-2024-37992
https://www.cve.org/CVERecord?id=CVE-2024-37992
- Référence CVE CVE-2024-37993
https://www.cve.org/CVERecord?id=CVE-2024-37993
- Référence CVE CVE-2024-37994
https://www.cve.org/CVERecord?id=CVE-2024-37994
- Référence CVE CVE-2024-37995
https://www.cve.org/CVERecord?id=CVE-2024-37995
- Référence CVE CVE-2024-38355
https://www.cve.org/CVERecord?id=CVE-2024-38355
- Référence CVE CVE-2024-43647
https://www.cve.org/CVERecord?id=CVE-2024-43647

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0757/

CERTFR-2024-AVI-1006_Multiples vulnerabilites dans les produits Atlassian

20 novembre 2024
actualite

Objet : Multiples vulnérabilités dans les produits AtlassianRéférence : CERTFR-2024-AVI-1006Risque(s) - Atteinte à la confidentialité des données -... Lire la suite[+]

CERTFR-2024-AVI-1005_Multiples vulnérabilités dans les produits Spring

20 novembre 2024
actualite

ObjetMultiples vulnérabilités dans les produits SpringRéférenceCERTFR-2024-AVI-1005Risques Contournement de la politique de sécurité Atteinte à... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Avis-de-securite-du-CERT-MC-et-du-CERT-FR/CERTFR-2024-AVI-0757_Multiples-vulnerabilites-dans-les-produits-Siemens