Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2021 - AVI - 357

AVIS CERT

CERT-FR

Publié le 11 mai 2021 à 18h36

Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2021-AVI-357

Risque(s)

- Déni de service à distance
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- MENDIX module Excel Importer versions antérieures à 9.0.3
- MENDIX Database Replication versions antérieures à 7.0.1
- RUGGEDCOM RM1224 versions antérieures à 6.4
- SCALANCE XM-400, XR-500, M-800, S615 versions antérieures à 6.4
- SCALANCE W1750D versions v8.3.0.1, v8.6.0 et v8.7.0
- SIMATIC NET CP 1243-1, CP 1243-7, CP 1243-8 versions 3.1.39 et ultérieures
- SIMATIC NET CP 1542, CP 1543-1 versions 2.0 et ultérieures
- SIMATIC NET CP 1545-1, CP 343-1 toutes versions
- SIMATIC Cloud Connect 7 toutes versions
- SIMATIC MV500 toutes versions
- SIMATIC S7-1500 CPU 1518-4 ou 1518F-4 toutes versions
- SIMATIC HMI versions antérieures à 16 update 4
- SIMATIC WinCC runtime advanced versions antérieures à 16 update 4
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 toutes versions
- SIMATIC Field PG M5 versions antérieures à 22.01.08
- SIMATIC Field PG M6 toutes versions
- SIMATIC IPC127E, IPC427E, IPC477E, IPC527G, IPC547G toutes versions
- SIMATIC IPC627E, IPC647E, IPC677E, IPC847E versions antérieures à 25.02.08
- SIMATIC ITP1000 versions antérieures à 23.01.08
- SINAMICS GH150, GL150 (X30), GM150 (X30), SH150, SM120 avec les versions de HMI Panel antérieures à v16 update 4
- SINAMICS SL150, SM150, SM150i toutes versions
- SINEMA Remote Connect Server versions antérieures à 3.0 SP1
- SINUMERIK 828D HW PPU.4, MC MCU 170 toutes versions
- SINUMERIK ONE 840D et PPU 1740 toutes versions
- TECNOMATIX Plan Simulation versions antérieures à 16.0.5
- TIM 1531 toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-116379.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-286838.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-324955.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-501073.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-538778.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-594364.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-676775.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-678983.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-723417.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-752103.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-854248.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-919955.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-940818.pdf

- Bulletin de sécurité Siemens du 11 mai 2021

https://cert-portal.siemens.com/productcert/pdf/ssa-983548.pdf

- Référence CVE CVE-2020-28393

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28393

- Référence CVE CVE-2021-27383

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27383

- Référence CVE CVE-2021-27384

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27384

- Référence CVE CVE-2021-27385

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27385

- Référence CVE CVE-2021-27386

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27386

- Référence CVE CVE-2019-8259

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8259

- Référence CVE CVE-2019-8260

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8260

- Référence CVE CVE-2019-8261

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8261

- Référence CVE CVE-2019-8262

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8262

- Référence CVE CVE-2019-8263

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8263

- Référence CVE CVE-2019-8264

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8264

- Référence CVE CVE-2019-8265

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8265

- Référence CVE CVE-2019-8275

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8275

- Référence CVE CVE-2019-8277

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8277

- Référence CVE CVE-2019-8280

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8280

- Référence CVE CVE-2020-25705

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25705

- Référence CVE CVE-2020-8744

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8744

- Référence CVE CVE-2020-0591

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0591

- Référence CVE CVE-2021-25660

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25660

- Référence CVE CVE-2021-25661

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25661

- Référence CVE CVE-2021-25662

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25662

- Référence CVE CVE-2019-19276

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19276

- Référence CVE CVE-2020-25242

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25242

- Référence CVE CVE-2020-8698

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8698

- Référence CVE CVE-2020-8745

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8745

- Référence CVE CVE-2020-8694

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8694

- Référence CVE CVE-2020-0590

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0590

- Référence CVE CVE-2020-24635

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24635

- Référence CVE CVE-2020-24636

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24636

- Référence CVE CVE-2021-25145

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25145

- Référence CVE CVE-2021-25146

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25146

- Référence CVE CVE-2021-25155

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25155

- Référence CVE CVE-2021-25156

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25156

- Référence CVE CVE-2021-25157

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25157

- Référence CVE CVE-2021-25158

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25158

- Référence CVE CVE-2021-25159

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25159

- Référence CVE CVE-2021-25160

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25160

- Référence CVE CVE-2021-25161

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25161

- Référence CVE CVE-2021-25162

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25162

- Référence CVE CVE-2019-5317

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5317

- Référence CVE CVE-2019-5319

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5319

- Référence CVE CVE-2021-25143

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25143

- Référence CVE CVE-2021-25144

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25144

- Référence CVE CVE-2021-25148

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25148

- Référence CVE CVE-2021-25149

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25149

- Référence CVE CVE-2021-25150

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25150

- Référence CVE CVE-2020-15798

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15798

- Référence CVE CVE-2021-31339

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31339

- Référence CVE CVE-2021-31341

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31341

- Référence CVE CVE-2021-27396

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27396

- Référence CVE CVE-2021-27397

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27397

- Référence CVE CVE-2021-27398

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27398

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-357/