AVIS CERTFR - 2022 - AVI - 216

AVIS CERT
CERT-FR

Publié le 8 mars 2022 à 18h08

Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2022-AVI-216

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- Mendix Forgot Password Appstore module versions 3.2.x antérieures à 3.2.2
- Mendix Forgot Password Appstore module versions 3.3.x à 3.5.x antérieures à 3.5.1
- Mendix Applications utilisant Mendix versions 7.x antérieures à 7.23.29
- Mendix Applications utilisant Mendix versions 8.x antérieures à 8.18.16
- COMOS versions antérieures à 10.4.1
- Simcenter STAR-CCM+ Viewer versions antérieures à V2022.1
- SIMOTICS CONNECT 400 versions antérieures à 1.0.0.0
- Climatix POL909 (module AWB) versions antérieures à 11.44
- Climatix POL909 (module AWM) versions antérieures à 11.36
- RUGGEDCOM ROS M2100, RMC8388, RS416v2, RS900G, RS900G (32M), RSG900, RSG920P, RSG2100 (32M), RSG2100P, RSG2100P (32M), RSG2288, RSG2300, RSG2300P, RSG2488, RSL910, RST916C, RST916P et RST2228 versions antérieures à 5.6.0
- SINUMERIK MC versions antérieures à 1.15 SP1
- SINUMERIK ONE versions antérieures à 6.15 SP1
- SINEC INS versions antérieures à 1.0.1.1
- RUGGEDCOM ROX MX5000, RX1400, RX1500, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 et RX5000 versions antérieures à 2.15.0
- Polarion Subversion Webclient versions antérieures à 21 R2 P2
- RUGGEDCOM ROS i800, i801, i802, i803, M969, M2100, M2200, RMC, RMC20, RMC30, RMC40, RMC41, RMC8388, RP110, RS400, RS401, RS416, RS416v2, RS900 (32M), RS900G, RS900G (32M), RS900GP, RS900L, RS900L, RS900W, RS910, RS910L, RS910W, RS920L, RS920W, RS930L, RS930W, RS940G, RS969, RS8000, RS8000A, RS8000H, RS8000T, RSG900, RSG900C, RSG900G, RSG900R, RSG907R, RSG908C, RSG909R, RSG910C, RSG920P, RSG2100, RSG2100 (32M), RSG2100P, RSG2100P (32M), RSG2200, RSG2288, RSG2300, RSG2300P, RSG2488, RSL910, RST916C, RST916P et RST2228 versions antérieures à 5.6.0

L'éditeur ne propose pas de correctif pour :

- Mendix Applications utilisant Mendix versions 9
- SINEC NMS toutes versions

Se référer aux mesures de contournement proposées dans la section Documentation.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens ssa-134279 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-134279.html 
- Bulletin de sécurité Siemens ssa-148641 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-148641.html 
- Bulletin de sécurité Siemens ssa-155599 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-155599.html 
- Bulletin de sécurité Siemens ssa-166747 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-166747.html 
- Bulletin de sécurité Siemens ssa-223353 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-223353.html 
- Bulletin de sécurité Siemens ssa-250085 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-250085.html 
- Bulletin de sécurité Siemens ssa-252466 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-252466.html 
- Bulletin de sécurité Siemens ssa-256353 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-256353.html 
- Bulletin de sécurité Siemens ssa-337210 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-337210.html 
- Bulletin de sécurité Siemens ssa-389290 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-389290.html 
- Bulletin de sécurité Siemens ssa-406691 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-406691.html 
- Bulletin de sécurité Siemens ssa-415938 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-415938.html 
- Bulletin de sécurité Siemens ssa-562051 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-562051.html 
- Bulletin de sécurité Siemens ssa-594438 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-594438.html 
- Bulletin de sécurité Siemens ssa-764417 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-764417.html 
- Bulletin de sécurité Siemens ssa-703715 du 8 mars 2022 https://cert-portal.siemens.com/productcert/html/ssa-703715.html 
- Référence CVE CVE-2022-26314
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26314 
- Référence CVE CVE-2022-26313
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26313 
- Référence CVE CVE-2022-24309
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24309 
- Référence CVE CVE-2021-25173
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25173 
- Référence CVE CVE-2021-25174
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25174 
- Référence CVE CVE-2021-25175
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25175 
- Référence CVE CVE-2021-25176
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25176 
- Référence CVE CVE-2021-25177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25177 
- Référence CVE CVE-2021-25178
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25178 
- Référence CVE CVE-2021-31784
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31784 
- Référence CVE CVE-2021-32936
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32936 
- Référence CVE CVE-2021-32938
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32938 
- Référence CVE CVE-2021-32940
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32940 
- Référence CVE CVE-2021-32944
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32944 
- Référence CVE CVE-2021-32946
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32946 
- Référence CVE CVE-2021-32948
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32948 
- Référence CVE CVE-2021-32950
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32950 
- Référence CVE CVE-2021-32952
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32952 
- Référence CVE CVE-2022-24661
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24661 
- Référence CVE CVE-2021-31344
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31344 
- Référence CVE CVE-2021-31346
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31346 
- Référence CVE CVE-2021-31890
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31890 
- Référence CVE CVE-2021-31889
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31889 
- Référence CVE CVE-2022-25311
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25311 
- Référence CVE CVE-2022-24281
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24281 
- Référence CVE CVE-2022-24282
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24282 
- Référence CVE CVE-2021-41541
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41541 
- Référence CVE CVE-2021-41542
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41542 
- Référence CVE CVE-2021-41543
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41543 
- Référence CVE CVE-2021-37208
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37208 
- Référence CVE CVE-2021-42016
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42016 
- Référence CVE CVE-2021-42017
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42017 
- Référence CVE CVE-2021-42018
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42018 
- Référence CVE CVE-2021-42019
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42019 
- Référence CVE CVE-2021-42020
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42020 
- Référence CVE CVE-2022-24408
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24408 
- Référence CVE CVE-2019-19242
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19242 
- Référence CVE CVE-2019-19244
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19244 
- Référence CVE CVE-2019-19317
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19317 
- Référence CVE CVE-2019-19603
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19603 
- Référence CVE CVE-2019-19645
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19645 
- Référence CVE CVE-2019-19646
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19646 
- Référence CVE CVE-2019-19880
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19880 
- Référence CVE CVE-2019-19923
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19923 
- Référence CVE CVE-2019-19924
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19924 
- Référence CVE CVE-2019-19925
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19925 
- Référence CVE CVE-2019-19926
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19926 
- Référence CVE CVE-2020-1971
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1971 
- Référence CVE CVE-2020-7774
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7774 
- Référence CVE CVE-2020-8169
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8169 
- Référence CVE CVE-2020-8177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8177 
- Référence CVE CVE-2020-8231
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8231 
- Référence CVE CVE-2020-8265
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8265 
- Référence CVE CVE-2020-8284
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8284 
- Référence CVE CVE-2020-8285
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8285 
- Référence CVE CVE-2020-8286
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8286 
- Référence CVE CVE-2020-8287
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8287 
- Référence CVE CVE-2020-8625
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8625 
- Référence CVE CVE-2020-9327
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9327 
- Référence CVE CVE-2020-11655
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11655 
- Référence CVE CVE-2020-11656
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11656 
- Référence CVE CVE-2020-13630
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13630 
- Référence CVE CVE-2020-13631
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13631 
- Référence CVE CVE-2020-13632
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13632 
- Référence CVE CVE-2020-13871
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13871 
- Référence CVE CVE-2020-15358
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15358 
- Référence CVE CVE-2020-27304
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27304 
- Référence CVE CVE-2021-3449
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449 
- Référence CVE CVE-2021-3450
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450 
- Référence CVE CVE-2021-3672
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3672 
- Référence CVE CVE-2021-3711
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3711 
- Référence CVE CVE-2021-3712
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3712 
- Référence CVE CVE-2021-22876
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22876 
- Référence CVE CVE-2021-22883
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22883 
- Référence CVE CVE-2021-22884
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22884 
- Référence CVE CVE-2018-7160
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7160 
- Référence CVE CVE-2021-22890
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22890 
- Référence CVE CVE-2021-22897
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22897 
- Référence CVE CVE-2021-22898
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22898 
- Référence CVE CVE-2021-22901
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22901 
- Référence CVE CVE-2021-22918
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22918 
- Référence CVE CVE-2021-22921
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22921 
- Référence CVE CVE-2021-22922
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22922 
- Référence CVE CVE-2021-22923
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22923 
- Référence CVE CVE-2021-22924
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22924 
- Référence CVE CVE-2021-22925
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22925 
- Référence CVE CVE-2021-22926
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22926 
- Référence CVE CVE-2021-22930
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22930 
- Référence CVE CVE-2021-22931
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931 
- Référence CVE CVE-2021-22939
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22939 
- Référence CVE CVE-2021-22940
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22940 
- Référence CVE CVE-2021-22945
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22945 
- Référence CVE CVE-2021-22946
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22946 
- Référence CVE CVE-2021-22947
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22947 
- Référence CVE CVE-2021-23362
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23362 
- Référence CVE CVE-2021-23840
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23840 
- Référence CVE CVE-2021-25214
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25214 
- Référence CVE CVE-2021-25215
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25215 
- Référence CVE CVE-2021-25216
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25216 
- Référence CVE CVE-2021-25219
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25219 
- Référence CVE CVE-2021-27290
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27290 
- Référence CVE CVE-2021-32803
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32803 
- Référence CVE CVE-2021-32804
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32804 
- Référence CVE CVE-2021-37701
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37701 
- Référence CVE CVE-2021-37712
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37712 
- Référence CVE CVE-2021-37713
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37713 
- Référence CVE CVE-2021-39134
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-39134 
- Référence CVE CVE-2021-39135
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-39135 
- Référence CVE CVE-2021-25217
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25217 
- Référence CVE CVE-2022-26317
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26317 
- Référence CVE CVE-2021-44478
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44478 
- Référence CVE CVE-2021-43527
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43527 
- Référence CVE CVE-2021-37209
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37209 
- Référence CVE CVE-2021-40366
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40366 

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-216/ 

Qualité de la rédaction