Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2023 - AVI - 0015

AVIS CERT

CERT-FR

Publié le 10 janvier 2023 à 17h12

Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2023-AVI-0015

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SINEC INS versions antérieures à V1.0 SP2 Update 1
- Development/Evaluation Kits for PROFINET IO: DK Standard Ethernet Controller versions antérieures à V4.1.1 Patch 05
- Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200 versions antérieures à V4.5.0 Patch 01
- Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200P versions antérieures à V4.5.0
- SCALANCE X-200IRT switch family (incl. SIPLUS NET variants) versions antérieures à V5.4.2
- De nombreux produits SIMATIC, SIMOTION, SINAMICS, SINUMERIK et SIPLUS (Se référer au bulletin de sécurité de l'éditeur pour les versions affectées)
- Automation License Manager V5
- Automation License Manager versions V6 antérieures à V6 SP9 Upd4
- Mendix SAML (Mendix 8 compatible) versions V2.3.x antérieures à V2.3.4
- Mendix SAML (Mendix 9 compatible, New Track) versions V3.3.x antérieures à V3.3.9
- Mendix SAML (Mendix 9 compatible, Upgrade Track) versions V3.3.x antérieures à V3.3.8
- JT Open versions antérieures à V11.1.1.0
- JT Open versions antérieures à V13.1.1.0
- Solid Edge versions antérieures à V2023 MP1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens ssa-332410 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-332410.html

- Bulletin de sécurité Siemens ssa-349422 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-349422.html

- Bulletin de sécurité Siemens ssa-431678 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-431678.html

- Bulletin de sécurité Siemens ssa-476715 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-476715.html

- Bulletin de sécurité Siemens ssa-482757 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-482757.html

- Bulletin de sécurité Siemens ssa-496604 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-496604.html

- Bulletin de sécurité Siemens ssa-592007 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-592007.html

- Bulletin de sécurité Siemens ssa-936212 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-936212.html

- Bulletin de sécurité Siemens ssa-997779 du 10 janvier 2023

https://cert-portal.siemens.com/productcert/html/ssa-997779.html

- Référence CVE CVE-2022-2068

https://www.cve.org/CVERecord?id=CVE-2022-2068

- Référence CVE CVE-2022-1292

https://www.cve.org/CVERecord?id=CVE-2022-1292

- Référence CVE CVE-2022-2097

https://www.cve.org/CVERecord?id=CVE-2022-2097

- Référence CVE CVE-2022-2274

https://www.cve.org/CVERecord?id=CVE-2022-2274

- Référence CVE CVE-2022-32212

https://www.cve.org/CVERecord?id=CVE-2022-32212

- Référence CVE CVE-2022-32213

https://www.cve.org/CVERecord?id=CVE-2022-32213

- Référence CVE CVE-2022-32215

https://www.cve.org/CVERecord?id=CVE-2022-32215

- Référence CVE CVE-2022-32222

https://www.cve.org/CVERecord?id=CVE-2022-32222

- Référence CVE CVE-2022-35255

https://www.cve.org/CVERecord?id=CVE-2022-35255

- Référence CVE CVE-2022-35256

https://www.cve.org/CVERecord?id=CVE-2022-35256

- Référence CVE CVE-2022-45092

https://www.cve.org/CVERecord?id=CVE-2022-45092

- Référence CVE CVE-2022-45093

https://www.cve.org/CVERecord?id=CVE-2022-45093

- Référence CVE CVE-2022-45094

https://www.cve.org/CVERecord?id=CVE-2022-45094

- Référence CVE CVE-2019-10923

https://www.cve.org/CVERecord?id=CVE-2019-10923

- Référence CVE CVE-2019-13940

https://www.cve.org/CVERecord?id=CVE-2019-13940

- Référence CVE CVE-2022-43513

https://www.cve.org/CVERecord?id=CVE-2022-43513

- Référence CVE CVE-2022-43514

https://www.cve.org/CVERecord?id=CVE-2022-43514

- Référence CVE CVE-2022-38773

https://www.cve.org/CVERecord?id=CVE-2022-38773

- Référence CVE CVE-2022-46823

https://www.cve.org/CVERecord?id=CVE-2022-46823

- Référence CVE CVE-2018-4843

https://www.cve.org/CVERecord?id=CVE-2018-4843

- Référence CVE CVE-2021-44002

https://www.cve.org/CVERecord?id=CVE-2021-44002

- Référence CVE CVE-2021-44014

https://www.cve.org/CVERecord?id=CVE-2021-44014

- Référence CVE CVE-2022-47935

https://www.cve.org/CVERecord?id=CVE-2022-47935

- Référence CVE CVE-2022-47967

https://www.cve.org/CVERecord?id=CVE-2022-47967

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0015/