CERTFR-2020-AVI-090 : [SCADA] Multiples vulnérabilités dans les produits Siemens (13 février 2020)
Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Development/Evaluation Kits for PROFINET IO: DK Standard Ethernet
ControllerDevelopment/Evaluation Kits for PROFINET IO: EK-ERTEC 200 versions antérieures à V4.5 Patch 01 Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200P versions antérieures à V4.6 IE/PB LINK PN IO (incl. variante SIPLUS NET) OpenPCS 7 V8.1 OpenPCS 7 V8.2 OpenPCS 7 V9.0 OZW672 versions antérieures à V10.00 OZW772 versions antérieures à V10.00 PROFINET Driver for Controller versions antérieures à V2.1 Patch 03 RUGGEDCOM RM1224 versions antérieures à V6.1.2 SCALANCE M-800 / S615 versions antérieures à V6.1.2 SCALANCE S602, S612, S623, S627-2M, S627-2M SCALANCE W700 IEEE 802.11n versions antérieures à V6.4 SCALANCE X-200IRT switch (incl. variante SIPLUS NET) versions antérieures à V5.4.2 SCALANCE X-200 switch (incl. variante SIPLUS NET) versions antérieures à V5.2.4 SCALANCE X-300 switch (incl. X408 et variante SIPLUS NET) versions antérieures à V4.1.3 SCALANCE XB-200, XC-200, XP-200, XF-200BA and XR-300WG versions antérieures à V4.1 SCALANCE XM-400 switch versions antérieures à V6.2.3 SCALANCE XR-500 switch versions antérieures à V6.2.3 SIMATIC BATCH V8.1 SIMATIC BATCH V8.2 SIMATIC BATCH V9.0 SIMATIC CP 1543-1 (incl. variante SIPLUS NET) versions antérieures V2.2 SIMATIC CP 1616 et CP 1604 versions antérieures à V2.8.1 SIMATIC CP 1623 versions antérieures à V14.00.15.00_51.25.00.01 SIMATIC CP 1626 SIMATIC CP 1628 versions antérieures à V14.00.15.00_51.25.00.01 SIMATIC CP 343-1 Advanced, CP 343-1, CP 343-1 LEAN, CP 443-1 Advanced, CP 443-1 (incl. variante SIPLUS NET) SIMATIC CP 343-1 ERPC, CP 443-1 OPC UA SIMATIC ET200AL IM 157-1 PN, ET200ecoPN (excepté 6ES7148-6JD00-0AB0 et 6ES7146-6FF00-0AB0), ET200M IM153-4 PN IO HF (incl. variante SIPLUS), ET200M IM153-4 PN IO ST (incl. variante SIPLUS) SIMATIC ET200MP IM155-5 PN HF (incl. variante SIPLUS) versions antérieures à V4.2.0 SIMATIC ET200MP IM155-5 PN ST (incl. variante SIPLUS) versions antérieures à V4.1.0 SIMATIC ET200pro, IM 154-3 PN HF et ET200pro, IM 154-4 PN HF SIMATIC ET200S, ET200SP IM155-6 PN Basic (incl. variante SIPLUS) SIMATIC ET200SP IM155-6 PN HF (incl. variante SIPLUS) versions antérieures à V4.2.2 SIMATIC ET200SP IM155-6 PN ST (incl. variante SIPLUS) versions antérieures à V4.1.0 SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. variante SIPLUS) SIMATIC Field PG M4, Field PG M5, Field PG M6 SIMATIC IPC427D, IPC427E (incl. variante SIPLUS) SIMATIC IPC127E, IPC427C, IPC477C, IPC477D, IPC477E, IPC477E Pro, IPC527G, IPC547E, IPC547G, IPC627C, IPC627D, IPC627E, IPC647C, IPC647D, IPC647E, IPC677C, IPC677D, IPC677E, IPC827C, IPC827D, IPC827E, IPC847C, IPC847D, IPC847E SIMATIC IPC Support, Package for VxWorks SIMATIC ITP1000 SIMATIC MV400 SIMATIC NET PC Software SIMATIC PCS 7 V8.1 SIMATIC PCS 7 V8.2 SIMATIC PCS 7 V9.0 SIMATIC PN/PN Coupler 6ES7158-3AD01-0XA0 (incl. variante SIPLUS NET) SIMATIC RF180C SIMATIC RF182C SIMATIC RF600 versions antérieures à V3.2.1 SIMATIC Route Control V8.1 SIMATIC Route Control V8.2 SIMATIC Route Control V9.0 SIMATIC S7-1200 CPU (incl. variante SIPLUS) SIMATIC S7-1500 CPU (incl. les CPUS ET200 associées et variantes SIPLUS) versions antérieures à 2.8 SIMATIC S7-1500 Software Controller versions antérieures à 20.8 SIMATIC S7-300 PN/DP CPU (incl. les CPUS ET200 associées et variantes SIPLUS) SIMATIC S7-400 PN/DP CPU V6 et antérieures (incl. variante SIPLUS) SIMATIC S7-400 PN/DP CPU V7 (incl. variante SIPLUS) SIMATIC WinCC (TIA Portal) V13 versions antérieures à V13 SP2 SIMATIC WinCC (TIA Portal) V14.0.1 SIMATIC WinCC (TIA Portal) V15.1 SIMATIC WinCC (TIA Portal) V16 SIMATIC WinCC V7.3 SIMATIC WinCC V7.4 SIMATIC WinCC V7.5 versions antérieures à 7.5.1 Upd1 SIMOTION P320-4E SIMOTION P320-4S SINAMICS DCP versions antérieures à V1.3 SIPORT MP versions antérieures à V3.1.4 SIPROTEC 4 et SIPROTEC Compact relays equipped with EN100 Ethernet communication modules TIM 1531 IRC (incl. variante SIPLUS NET) versions antérieures à V2.0
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Siemens . Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens ssa-270778 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-270778.pdf - Bulletin de sécurité Siemens ssa-398519 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-398519.pdf - Bulletin de sécurité Siemens ssa-431678 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-431678.pdf - Bulletin de sécurité Siemens ssa-591405 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-591405.pdf - Bulletin de sécurité Siemens ssa-750824 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-750824.pdf - Bulletin de sécurité Siemens ssa-780073 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-780073.pdf - Bulletin de sécurité Siemens ssa-940889 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-940889.pdf - Bulletin de sécurité Siemens ssa-951513 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-951513.pdf - Bulletin de sécurité Siemens ssa-974843 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-974843.pdf - Bulletin de sécurité Siemens ssa-978220 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-978220.pdf - Bulletin de sécurité Siemens ssa-978558 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-978558.pdf - Bulletin de sécurité Siemens ssa-986695 du 11 février 2020
https://cert-portal.siemens.com/productcert/pdf/ssa-986695.pdf - Référence CVE CVE-2020-19282
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-19282 - Référence CVE CVE-2019-19282
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19282 - Référence CVE CVE-2019-0151
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0151 - Référence CVE CVE-2019-0152
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0152 - Référence CVE CVE-2019-0169
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0169 - Référence CVE CVE-2019-13940
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13940 - Référence CVE CVE-2019-6585
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6585 - Référence CVE CVE-2019-13925
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13925 - Référence CVE CVE-2019-13926
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13926 - Référence CVE CVE-2019-19281
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19281 - Référence CVE CVE-2019-13946
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13946 - Référence CVE CVE-2019-12815
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12815 - Référence CVE CVE-2019-18217
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18217 - Référence CVE CVE-2019-13924
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13924 - Référence CVE CVE-2019-19279
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19279 - Référence CVE CVE-2015-5621
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5621 - Référence CVE CVE-2018-18065
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18065 - Référence CVE CVE-2019-19277
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19277 - Référence CVE CVE-2019-13941
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13941
- Vues : 465