Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Avisos de seguridad de Siemens de diciembre de 2024

Fecha de publicación 10/12/2024
Identificador
INCIBE-2024-0594
Importancia
4 - Alta
Recursos Afectados
  • CPCI85 Central Processing/Communication;
  • línea de productos RUGGEDCOM ROX II;
  • SIMATIC;
  • Totally Integrated Automation Portal (TIA Portal);
  • SIMOCODE;
  • SIMOTION;
  • SINAMICS;
  • SIRIUS;
  • SENTRON Powercenter;
  • Teamcenter Visualization;
  • COMOS;
  • Solid Edge;
  • Simcenter Femap;
  • Parasolid.

Consultar modelos concretos y versiones afectadas en las referencias.

Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 10 nuevos avisos de seguridad, recopilando un total de 39 vulnerabilidades de distintas severidades. Las vulnerabilidades categorizadas con severidad alta se corresponden con la siguiente tipología e identificadores asignados:

  • CSRF en la línea de productos RUGGEDCOM ROX II (CVE-2020-28398);
  • validación incorrecta de datos de entrada en los dispositivos SIMATIC, TIA Portal, SIMATIC, SIMOCODE, SIMOTION, SINAMICS y SIRIUS (CVE-2024-52051);
  • lectura y escritura fuera de límites, corrupción de memoria, uso de memoria posterior a su liberación y desbordamiento de búfer en Teamcenter Visualization (consultar el listado de identificadores asignados en la referencia SSA-645131);
  • desbordamiento de búfer o de enteros en Solid Edge SE2024 (CVE-2024-54093, CVE-2024-54094 y CVE-2024-54095);
  • deserialización de datos no confiables en los dispositivos SIMATIC, TIA Portal, SIMATIC, SIMOCODE, SIMOTION, SINAMICS y SIRIUS (CVE-2024-49849);
  • desbordamiento de búfer o corrupción de memoria en Simcenter Femap (CVE-2024-41981 y CVE-2024-47046);
  • escritura fuera de límites en Parasolid (CVE-2024-54091).
Listado de referencias
SSA-128393: Firmware Decryption Vulnerability in SICAM A8000 CP-8031 and CP-8050
SSA-384652: Cross-Site Request Forgery (CSRF) Vulnerability in RUGGEDCOM ROX II
SSA-392859: Local Arbitrary Code Execution Vulnerability in Siemens Engineering Platforms before V20
SSA-620799: Denial of Service Vulnerability During BLE Pairing in SENTRON Powercenter 1000/1100
SSA-645131: Multiple WRL File Parsing Vulnerabilities in Teamcenter Visualization
SSA-701627: XXE Injection Vulnerabilities in COMOS
SSA-730188: Multiple File Parsing Vulnerabilities in Solid Edge V2024
SSA-800126: Deserialization Vulnerability in Siemens Engineering Platforms before V20
SSA-881356: Multiple Memory Corruption Vulnerabilities in Simcenter Femap
SSA-979056: Out of Bounds Write Vulnerability in Parasolid
ICSA-24-347-01 - Siemens CPCI85 Central Processing/Communication
ICSA-24-347-02 - Siemens Engineering Platforms
ICSA-24-347-03 - Siemens RUGGEDCOM ROX II
ICSA-24-347-04 - Siemens Parasolid
ICSA-24-347-05 - Siemens Engineering Platforms
ICSA-24-347-06 - Siemens Simcenter Femap
ICSA-24-347-07 - Siemens Solid Edge SE2024
ICSA-24-347-08 - Siemens COMOS
ICSA-24-347-09 - Siemens Teamcenter Visualization
ICSA-24-347-10 - Siemens SENTRON Powercenter 1000
Etiquetas