CERTFR-2024-AVI-1062_Multiples vulnerabilites dans les produits Siemens

AVIS CERT
CERT-FR

Publié le 11 décembre 2024 à 15h54 - Mis à jour le 18 février 2025 à 11h19

Objet

Multiples vulnérabilités dans les produits Siemens

Référence

CERTFR-2024-AVI-1062

Risque(s)

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire
  • Non spécifié par l'éditeur

Système(s) affecté(s)

  • CPCI85 Central Processing/Communication versions antérieures à V05.30
  • SIMATIC S7-PLCSIM V16 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-49849.
  • SIMATIC S7-PLCSIM V17 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC S7-PLCSIM V17 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-49849.
  • SIMATIC S7-PLCSIM V18 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC STEP 7 Safety V16 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-49849.
  • SIMATIC STEP 7 Safety V17 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC STEP 7 Safety V17 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC STEP 7 Safety V18 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC STEP 7 Safety V18 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC STEP 7 Safety V19 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC STEP 7 Safety V19 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC STEP 7 V16 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-49849.
  • SIMATIC STEP 7 V17 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC STEP 7 V17 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC STEP 7 V18 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC STEP 7 V18 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC STEP 7 V19 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC STEP 7 V19 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC WinCC Unified PC Runtime V18 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC WinCC Unified PC Runtime V19 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC WinCC Unified V16 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-49849.
  • SIMATIC WinCC Unified V17 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC WinCC Unified V17 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC WinCC Unified V18 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC WinCC Unified V18 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC WinCC Unified V19 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC WinCC Unified V19 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC WinCC V16 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-49849.
  • SIMATIC WinCC V17 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC WinCC V17 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC WinCC V18 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC WinCC V18 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIMATIC WinCC V19 toutes versions pour la vulnérabilité CVE-2024-49849
  • SIMATIC WinCC V19 toutes versions pour la vulnérabilité CVE-2024-52051
  • SIRIUS Safety ES V17 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-49849
  • SIRIUS Safety ES V17 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-52051
  • SIRIUS Safety ES V18 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-49849
  • SIRIUS Safety ES V18 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-52051
  • SIRIUS Safety ES V19 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-49849
  • SIRIUS Safety ES V19 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-52051
  • SIRIUS Soft Starter ES V17 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-49849
  • SIRIUS Soft Starter ES V17 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-52051
  • SIRIUS Soft Starter ES V18 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-49849
  • SIRIUS Soft Starter ES V18 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-52051
  • SIRIUS Soft Starter ES V19 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-49849
  • SIRIUS Soft Starter ES V19 (TIA Portal) toutes versions pour la vulnérabilité CVE-2024-52051
  • TIA Portal Cloud V16 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-49849.
  • TIA Portal Cloud V17 toutes versions pour la vulnérabilité CVE-2024-49849
  • TIA Portal Cloud V17 toutes versions pour la vulnérabilité CVE-2024-52051
  • TIA Portal Cloud V18 toutes versions pour la vulnérabilité CVE-2024-49849
  • TIA Portal Cloud V18 toutes versions pour la vulnérabilité CVE-2024-52051
  • TIA Portal Cloud V19 toutes versions pour la vulnérabilité CVE-2024-49849
  • TIA Portal Cloud V19 toutes versions pour la vulnérabilité CVE-2024-52051

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un contournement de la politique de sécurité et un problème de sécurité non spécifié par l'éditeur.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1062/