Logo

Blog

Accueil Blog
cybersécurité

Multiples vulnérabilités dans les produits Siemens [CERTFR-2025-AVI-1083 – 09/12/2025]

10/12/2025
Vincent

Le CERT-FR a publié le 9 décembre 2025 un avis concernant de multiples vulnérabilités affectant une large gamme de produits Siemens. Ces failles de sécurité, identifiées dans les gammes SIMATIC, SICAM et TDC, exposent les systèmes industriels à des risques importants nécessitant une action rapide des administrateurs.

Risques identifiés

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes concernés

Les vulnérabilités affectent de nombreuses familles de produits Siemens :
  • SICAM T : versions < 3.0
  • SIMATIC CFU DIQ/PA : versions < 2.0.0
  • SIMATIC CN 4100 : versions < 4.0.1
  • SIMATIC ET 200 (séries AL, clean, eco PN, MP, pro, S, SP) : plusieurs modèles, certains en fin de support
  • SIMATIC PN/PN Coupler : versions < 6.0.0
  • SIMATIC S7-1200 CPU (toutes variantes 1211C, 1212C, 1212FC, 1214C, 1214FC, 1215C, 1215FC, 1217C) : versions < 4.4.0
  • SIMATIC S7-1500 CPU (séries 1511, 1513, 1515, 1516) : toutes versions (pas de correctif prévu pour CVE-2025-40820)
  • SIMATIC S7-200 SMART CPU (séries CR, SR, ST) : toutes versions pour CVE-2025-40820
  • SIMATIC S7-300 CPU (séries 314C, 315, 317, 319) : toutes versions (pas de correctif prévu pour CVE-2025-40820)
  • SIMATIC S7-400 CPU (séries 412, 414, 416, H V6) : toutes versions (pas de correctif prévu pour CVE-2025-40820)
  • SIMATIC S7-410 (V8 et V10) : versions < 8.3 et < 10.2
  • SIMATIC TDC (CP51M1, CPU555) : toutes versions (pas de correctif prévu pour CVE-2025-40820)
  • SIPLUS S7 (variantes renforcées des gammes ci-dessus) : mêmes versions affectées
Note importante : Pour de nombreux produits, Siemens indique qu’aucun correctif ne sera fourni pour la vulnérabilité CVE-2025-40820.

Vulnérabilités CVE

L’avis fait référence à 21 vulnérabilités CVE :

CVE 2022 : CVE-2022-29872, CVE-2022-29873, CVE-2022-29874, CVE-2022-29876, CVE-2022-29878, CVE-2022-29879, CVE-2022-29880, CVE-2022-29881, CVE-2022-29882, CVE-2022-29883, CVE-2022-40226, CVE-2022-41665, CVE-2022-43439

CVE 2023 : CVE-2023-30901, CVE-2023-31238

CVE 2025 : CVE-2025-40820, CVE-2025-40937, CVE-2025-40938, CVE-2025-40939, CVE-2025-40940, CVE-2025-40941

Ces vulnérabilités couvrent un large spectre de failles, allant de l’exécution de code arbitraire aux injections XSS et CSRF.

Solutions

Les administrateurs de systèmes Siemens doivent prendre les mesures suivantes :
  • Consulter les bulletins de sécurité Siemens (SSA-416652, SSA-471761, SSA-915282) pour obtenir les correctifs spécifiques à chaque produit et version.
  • Appliquer les mises à jour disponibles en priorité sur les systèmes critiques, notamment pour les gammes S7-1200, CN 4100, SICAM T et S7-410 qui disposent de correctifs.
  • Mettre en place des mesures compensatoires pour les produits en fin de support ou sans correctif prévu, notamment l’isolation réseau, le renforcement des contrôles d’accès et la surveillance renforcée des équipements concernés.

 

Source : CERT-FR, Avis CERTFR-2025-AVI-1083

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1083/

Multiples vulnérabilités dans les produits Siemens [CERTFR-2025-AVI-1083 – 09/12/2025]

📖

Automatisation Industrielle : Défis, Solutions et Opportunités

Recevez gratuitement par mail notre dernier livre blanc

Livre blanc : comment l'automatisation industrielle répond aux défis de votre production

Un projet en tête ?

Parlez-nous de vos besoins

Parlons de votre projet dès maintenant : 02 52 64 00 62