Logo

Blog

Accueil Blog
cybersécurité

Multiples vulnérabilités dans les produits Siemens [12/08/2025]

18/08/2025
Vincent

LE CERT-FR a publié un avis de sécurité le 12/08/2025 concernant de multiples vulnérabilités découvertes dans les produits Siemens. Ces failles de sécurité affectent un large éventail de solutions industrielles et d’automatisation de l’entreprise allemande. Certaines de ces vulnérabilités permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance

Risques identifiés

  • Atteinte à l’intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Élévation de privilèges
  • Risques non spécifiés par l’éditeur

Systèmes concernés

Les vulnérabilités affectent de nombreux produits Siemens, notamment :

  • Gamme SCALANCE : XC-300/XR-300/XC-400/XR-500WG/XR-500 (versions < 3.2), XCM-/XRM-/XCH-/XRH-300 family (versions < 3.2)
  • Suite SIMATIC : Automation Tool, BATCH V9.1 et V10.0, Control Function Library, PCS 7, PCS neo, WinCC (diverses versions)
  • SIMATIC STEP 7 : Versions V17, V18, V19, V20 et V5.7
  • SIMATIC S7-PLCSIM : Versions V17, V18, V19, V20
  • Série SIPROTEC : SIPROTEC 4 et SIPROTEC 5
  • TIA Portal : Cloud V17, V18, V19, V20 et Test Suite

Note : Certains produits ne bénéficieront pas de correctifs de sécurité selon l’éditeur.

Vulnérabilités CVE

Le communiqué recense plus de 500 CVE distinctes affectant les produits Siemens, parmi lesquelles :

  • CVE-2025-30033 : Vulnérabilité majeure affectant la majorité des produits SIMATIC
  • CVE-2025-47809 : Faille touchant SIMATIC Information Server et Process Historian
  • CVE-2024-54678 : Vulnérabilité dans plusieurs versions de SIMATIC PCS neo, STEP 7 et WinCC
  • CVE-2025-40759 : Faille affectant diverses solutions SIMATIC et TIA Portal
  • CVE-2024-52504 : Vulnérabilité spécifique aux produits SIPROTEC 4

Les CVE s’étendent de 2021 à 2025, incluant de nombreuses vulnérabilités du noyau Linux et des composants système.

Solutions

Les utilisateurs des produits Siemens concernés doivent :

  • Consulter les bulletins de sécurité officiels de Siemens pour obtenir les correctifs spécifiques à chaque produit
  • Appliquer immédiatement les mises à jour disponibles pour les versions supportées
  • Évaluer la migration vers des versions plus récentes pour les produits en fin de support

 

Source : CERT-FR, Avis CERTFR-2025-AVI-0677

https://cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0677/

Multiples vulnérabilités dans les produits Siemens [12/08/2025]