Multiples vulnérabilités dans le système SCADA Siemens SIMATIC
le 21 mars 2014
De multiples vulnérabilités ont été corrigées dans le système SCADA Siemens SIMATIC. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Il est recommandé de mettre à jour les systèmes SIMATIC S7-1200 PLC vers une version supérieure ou égale à V4.0.
Risque(s)
- exécution de code arbitraire à distance
- déni de service à distance
- atteinte à la confidentialité des données
- injection de requêtes illégitimes par rebond
Systèmes affectés
- Siemens SIMATIC S7-1200 CPU versions antérieures à 4.0
Documentation
- Bulletin de sécurité Siemens SSA-654382 du 20 mars 2014 : www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-654382.pdf
- Référence CVE CVE-2014-2249 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-2250 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-2252 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-2254 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-2256 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-2258 : cve.mitre.org/cgi-bin/cvename.cgi
- Bulletin de sécurité du CERT-FR : cert.ssi.gouv.fr/site/CERTFR-2014-AVI-137
