Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutements

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés, certifiés

AVIS CERTFR - 2023 - AVI - 0526

AVIS CERT

CERT-FR

Publié le 11 juillet 2023 à 18h30

Objet : [SCADA] Multiples vulnérabilités dans les produits Siemens

Référence : CERTFR-2023-AVI-0526

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

- SiPass integrated versions antérieures à 2.90.3.8
- Tecnomatix Plant Simulation versions 2201.x antérieures à 2201.0008
- Tecnomatix Plant Simulation versions 2302.x antérieures à 2302.0002
- SIMATIC MV540 H (6GF3540-0GE10) versions antérieures à 3.3.4
- SIMATIC MV540 S (6GF3540-0CD10) versions antérieures à 3.3.4
- SIMATIC MV550 H (6GF3550-0GE10) versions antérieures à 3.3.4
- SIMATIC MV550 S (6GF3550-0CD10) versions antérieures à 3.3.4
- SIMATIC MV560 U (6GF3560-0LE10) versions antérieures à 3.3.4
- SIMATIC MV560 X (6GF3560-0HE10) versions antérieures à 3.3.4
- SIMATIC CN 4100 versions antérieures à 2.5
- RUGGEDCOM ROX MX5000 versions antérieures à 2.16.0
- RUGGEDCOM ROX MX5000RE versions antérieures à 2.16.0
- RUGGEDCOM ROX RX1400 versions antérieures à 2.16.0
- RUGGEDCOM ROX RX1500 versions antérieures à 2.16.0
- RUGGEDCOM ROX RX1501 versions antérieures à 2.16.0
- RUGGEDCOM ROX RX1510 versions antérieures à 2.16.0
- RUGGEDCOM ROX RX1511 versions antérieures à 2.16.0
- RUGGEDCOM ROX RX1512 versions antérieures à 2.16.0
- RUGGEDCOM ROX RX1524 versions antérieures à 2.16.0
- RUGGEDCOM ROX RX1536 versions antérieures à 2.16.0
- RUGGEDCOM ROX RX5000 versions antérieures à 2.16.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Siemens ssa-924149 du 11 juillet 2023
https://cert-portal.siemens.com/productcert/html/ssa-924149.html
- Bulletin de sécurité Siemens ssa-764801 du 11 juillet 2023
https://cert-portal.siemens.com/productcert/html/ssa-764801.html
- Bulletin de sécurité Siemens ssa-561322 du 11 juillet 2023
https://cert-portal.siemens.com/productcert/html/ssa-561322.html
- Bulletin de sécurité Siemens ssa-313488 du 11 juillet 2023
https://cert-portal.siemens.com/productcert/html/ssa-313488.html
- Bulletin de sécurité Siemens ssa-146325 du 11 juillet 2023
https://cert-portal.siemens.com/productcert/html/ssa-146325.html
- Référence CVE CVE-2022-31810
https://www.cve.org/CVERecord?id=CVE-2022-31810
- Référence CVE CVE-2023-37246
https://www.cve.org/CVERecord?id=CVE-2023-37246
- Référence CVE CVE-2023-37247
https://www.cve.org/CVERecord?id=CVE-2023-37247
- Référence CVE CVE-2023-37248
https://www.cve.org/CVERecord?id=CVE-2023-37248
- Référence CVE CVE-2023-37374
https://www.cve.org/CVERecord?id=CVE-2023-37374
- Référence CVE CVE-2023-37375
https://www.cve.org/CVERecord?id=CVE-2023-37375
- Référence CVE CVE-2023-37376
https://www.cve.org/CVERecord?id=CVE-2023-37376
- Référence CVE CVE-2021-46828
https://www.cve.org/CVERecord?id=CVE-2021-46828
- Référence CVE CVE-2022-1012
https://www.cve.org/CVERecord?id=CVE-2022-1012
- Référence CVE CVE-2022-4304
https://www.cve.org/CVERecord?id=CVE-2022-4304
- Référence CVE CVE-2022-4450
https://www.cve.org/CVERecord?id=CVE-2022-4450
- Référence CVE CVE-2022-30767
https://www.cve.org/CVERecord?id=CVE-2022-30767
- Référence CVE CVE-2019-14196
https://www.cve.org/CVERecord?id=CVE-2019-14196
- Référence CVE CVE-2022-36946
https://www.cve.org/CVERecord?id=CVE-2022-36946
- Référence CVE CVE-2022-37434
https://www.cve.org/CVERecord?id=CVE-2022-37434
- Référence CVE CVE-2022-48285
https://www.cve.org/CVERecord?id=CVE-2022-48285
- Référence CVE CVE-2023-0215
https://www.cve.org/CVERecord?id=CVE-2023-0215
- Référence CVE CVE-2023-0286
https://www.cve.org/CVERecord?id=CVE-2023-0286
- Référence CVE CVE-2023-35920
https://www.cve.org/CVERecord?id=CVE-2023-35920
- Référence CVE CVE-2023-35921
https://www.cve.org/CVERecord?id=CVE-2023-35921
- Référence CVE CVE-2023-36521
https://www.cve.org/CVERecord?id=CVE-2023-36521
- Référence CVE CVE-2023-29130
https://www.cve.org/CVERecord?id=CVE-2023-29130
- Référence CVE CVE-2023-29131
https://www.cve.org/CVERecord?id=CVE-2023-29131
- Référence CVE CVE-2022-24903
https://www.cve.org/CVERecord?id=CVE-2022-24903
- Référence CVE CVE-2022-2068
https://www.cve.org/CVERecord?id=CVE-2022-2068
- Référence CVE CVE-2021-22946
https://www.cve.org/CVERecord?id=CVE-2021-22946
- Référence CVE CVE-2022-22576
https://www.cve.org/CVERecord?id=CVE-2022-22576
- Référence CVE CVE-2022-27781
https://www.cve.org/CVERecord?id=CVE-2022-27781
- Référence CVE CVE-2022-27782
https://www.cve.org/CVERecord?id=CVE-2022-27782
- Référence CVE CVE-2022-32207
https://www.cve.org/CVERecord?id=CVE-2022-32207
- Référence CVE CVE-2022-1292
https://www.cve.org/CVERecord?id=CVE-2022-1292
- Référence CVE CVE-2022-29561
https://www.cve.org/CVERecord?id=CVE-2022-29561
- Référence CVE CVE-2022-29562
https://www.cve.org/CVERecord?id=CVE-2022-29562
- Référence CVE CVE-2023-36386
https://www.cve.org/CVERecord?id=CVE-2023-36386
- Référence CVE CVE-2023-36389
https://www.cve.org/CVERecord?id=CVE-2023-36389
- Référence CVE CVE-2023-36390
https://www.cve.org/CVERecord?id=CVE-2023-36390
- Référence CVE CVE-2023-36748
https://www.cve.org/CVERecord?id=CVE-2023-36748
- Référence CVE CVE-2023-36749
https://www.cve.org/CVERecord?id=CVE-2023-36749
- Référence CVE CVE-2023-36750
https://www.cve.org/CVERecord?id=CVE-2023-36750
- Référence CVE CVE-2023-36751
https://www.cve.org/CVERecord?id=CVE-2023-36751
- Référence CVE CVE-2023-36752
https://www.cve.org/CVERecord?id=CVE-2023-36752
- Référence CVE CVE-2023-36753
https://www.cve.org/CVERecord?id=CVE-2023-36753
- Référence CVE CVE-2023-36754
https://www.cve.org/CVERecord?id=CVE-2023-36754
- Référence CVE CVE-2023-36755
https://www.cve.org/CVERecord?id=CVE-2023-36755

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0526/