AVIS CERTFR - 2021 - AVI - 608
Publié le 10 août 2021 à 16h25
Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens
Référence : CERTFR-2021-AVI-608
Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
-
SGT-100, SGT-200, SGT-300, SGT-400, SGT-A20, SGT-A35 et SGT-A65
- T2Go versions antérieures à V13.2.0.2
- Teamcenter Visualization versions antérieures à V13.2.0.2
- SIMATIC Drive Controller family versions antérieures à V2.9.2
-
SIMATIC ET 200SP Open Controller CPU 515SP PC2 (incl. SIPLUS variants)
- SIMATIC S7 PLCSIM Advanced versions antérieures à V4
-
SIMATIC S7-1200 CPU family (incl. SIPLUS variants) versions V4.4.x antérieures à V4.4.1
-
SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) versions antérieures à V2.9.2
- SIMATIC S7-1500 Software Controller
- TIM 1531 IRC (incl. SIPLUS NET variants) versions antérieures à V2.2
-
SIMATIC S7-1200 CPU family (incl. SIPLUS variants) versions V4.5.x antérieures à V4.5.1
- Solid Edge SE2021 versions antérieures à SE2021MP7
- SINEC NMS versions antérieures à V1.0 SP2
-
SIMATIC NET CP 1543-1 (incl. SIPLUS NET variants) versions antérieures à V3.0
- SIMATIC NET CP 1545-1
- Automation License Manager 5
- Automation License Manager 6 versions antérieures à V6.0 SP9 Update 2
- de nombreux produits SIMATIC et SINUMERIK (cf. avis de sécurité ssa-309571)
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens ssa-553445 du 10 août 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-553445.pdf
- Bulletin de sécurité Siemens ssa-938030 du 10 août 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-938030.pdf
- Bulletin de sécurité Siemens ssa-865327 du 10 août 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-865327.pdf
- Bulletin de sécurité Siemens ssa-830194 du 10 août 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-830194.pdf
- Bulletin de sécurité Siemens ssa-818688 du 10 août 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-818688.pdf
- Bulletin de sécurité Siemens ssa-756744 du 10 août 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-756744.pdf
- Bulletin de sécurité Siemens ssa-679335 du 10 août 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-679335.pdf
- Bulletin de sécurité Siemens ssa-365397 du 10 août 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-365397.pdf
- Bulletin de sécurité Siemens ssa-309571 du 10 août 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-309571.pdf
- Bulletin de sécurité Siemens ssa-158827 du 10 août 2021
https://cert-portal.siemens.com/productcert/pdf/ssa-158827.pdf
- Référence CVE CVE-2016-20009
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-20009
- Référence CVE CVE-2021-32946
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32946
- Référence CVE CVE-2021-32952
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32952
- Référence CVE CVE-2021-33738
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33738
- Référence CVE CVE-2020-28397
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28397
- Référence CVE CVE-2021-37172
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37172
- Référence CVE CVE-2021-37178
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37178
- Référence CVE CVE-2021-37179
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37179
- Référence CVE CVE-2021-37180
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37180
- Référence CVE CVE-2021-33721
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33721
- Référence CVE CVE-2020-9272
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9272
- Référence CVE CVE-2020-9273
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9273
- Référence CVE CVE-2021-32936
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32936
- Référence CVE CVE-2021-32938
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32938
- Référence CVE CVE-2021-32940
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32940
- Référence CVE CVE-2021-32944
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32944
- Référence CVE CVE-2021-32948
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32948
- Référence CVE CVE-2021-32950
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32950
- Référence CVE CVE-2021-33717
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33717
- Référence CVE CVE-2020-8670
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8670
- Référence CVE CVE-2020-8703
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8703
- Référence CVE CVE-2020-8704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8704
- Référence CVE CVE-2020-12357
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12357
- Référence CVE CVE-2020-12358
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12358
- Référence CVE CVE-2020-12360
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12360
- Référence CVE CVE-2020-24486
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24486
- Référence CVE CVE-2020-24506
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24506
- Référence CVE CVE-2020-24507
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24507
- Référence CVE CVE-2020-24511
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24511
- Référence CVE CVE-2020-24512
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24512
- Référence CVE CVE-2020-24513
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24513
- Référence CVE CVE-2021-25659
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25659
Dernière version du document