Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 11/08/2021] Avisos de seguridad de Siemens de agosto de 2021

Fecha de publicación 10/08/2021
Importancia
5 - Crítica
Recursos Afectados
  • Automation License Manager 5, todas las versiones;
  • Automation License Manager 6, versiones anteriores a la 6.0 SP9 Update 2;
  • todas las versiones de los productos:
    • SIMATIC Drive Controller family,
    • SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incluyendo variantes SIPLUS),
    • SIMATIC Field PG M5,
    • SIMATIC Field PG M6,
    • SIMATIC IPC127E,
    • SIMATIC IPC427E,
    • SIMATIC IPC477E,
    • SIMATIC IPC477E Pro,
    • SIMATIC IPC527G,
    • SIMATIC IPC547G,
    • SIMATIC ITP1000,
    • SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (MLFB: 6ES7518-4AX00-1AC0, 6AG1518- 4AX00-4AC0, incluyendo variantes SIPLUS),
    • SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (MLFB: 6ES7518-4FX00-1AC0),
    • SINUMERIK 828D HW PPU.4,
    • SINUMERIK MC MCU 1720,
    • SINUMERIK ONE / SINUMERIK 840D sl Handheld Terminal HT 10,
    • SINUMERIK ONE PPU 1740,
    • SGT-100,
    • SGT-200,
    • SGT-300,
    • SGT-400,
    • SGT-A20,
    • SGT-A35,
    • SGT-A65,
    • SIMATIC NET CP 1545-1.
  • Versiones BIOS anteriores a 25.02.10 de los productos:
    • SIMATIC IPC627E,
    • SIMATIC IPC647E,
    • SIMATIC IPC677E,
    • SIMATIC IPC847E.
  • Versiones anteriores a 13.2.0.2 de los productos:
    • JT2Go;
    • Teamcenter Visualization.
  • SIMATIC NET CP 1543-1 (incluyendo variantes SIPLUS NET), versiones anteriores a 3.0;
  • SINEC NMS, versiones anteriores a 1.0 SP2;
  • Solid Edge SE2021, versiones anteriores a SE2021MP7;
  • SIMATIC S7-1200 CPU family (incluyendo variantes SIPLUS), versiones 4.4 y 4.5.0;
  • SIMATIC S7 PLCSIM Advanced, versiones posteriores a la 2, pero anteriores a la 4;
  • SIMATIC S7-1500 CPU family (incluyendo CPUs ET200 relacionadas y variantes SIPLUS), versiones posteriores a 2.5 y anteriores a 2.9.2;
  • SIMATIC S7-1500 Software Controller, versiones posteriores a 2.5;
  • TIM 1531 IRC (incluyendo variantes SIPLUS NET), versión 2.1.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle

Siemens, en su comunicación mensual de parches de seguridad, ha emitido un total de 22 avisos de seguridad, de los cuales 12 son actualizaciones.

Los tipos de nuevas vulnerabilidades publicadas se corresponden con los siguientes:

  • consumo no controlado de recursos,
  • escalada de privilegios,
  • denegación de servicio,
  • divulgación de información,
  • lectura fuera de límites,
  • escritura fuera de límites,
  • proceso de autenticación incorrecto,
  • desbordamiento de búfer basado en pila (stack),
  • ejecución remota de código,
  • inyección de comandos de sistema operativo,
  • divulgación de archivos aleatorios,
  • ejecución de código,
  • omisión de autenticación.

Los identificadores CVE asignados para estas vulnerabilidades pueden consultarse en la sección VULNERABILITY CLASSIFICATION de cada aviso de Siemens.

Encuesta valoración

Listado de referencias