Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Avisos de seguridad de Siemens de diciembre de 2020

Fecha de publicación 09/12/2020
Importancia
5 - Crítica
Recursos Afectados
  • SENTRON PAC3200, versiones 2.4.5 y anteriores;
  • SENTRON PAC4200: versiones 2.0.1 y anteriores;
  • SIRIUS 3RW5 módulo de comunicación Modbus TCP, todas las versiones;
  • XHQ Operations Intelligence, todas las versiones anteriores a 6.1;
  • SICAM A8000 CP-8000, todas las versiones anteriores a la 16;
  • SICAM A8000 CP-8021, todas las versiones anteriores a la 16;
  • SICAM A8000 CP-8022, todas las versiones anteriores a la 16;
  • SIMATIC, distintas versiones disponibles en el apartado 3.1 de los avisos ICSA-20-343-08 e ICSA-20-343-09;
  • LOGO! 8 BM (incluye variantes de SIPLUS), todas las versiones anteriores a 8.3;
  • LOGO! Soft Comfort, todas las versiones anteriores a 8.3 (solo afectadas por las vulnerabilidades CVE-2020-25231 y CVE-2020-25234).
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Acceder a la sección 4. MITIGATIONS de los avisos del CISA y/o a la columna Remediation en las tablas de los PDF de Siemens para obtener las soluciones a estas vulnerabilidades.

Detalle

Siemens, en su comunicación mensual de parches de seguridad, ha emitido un total de 24 avisos de seguridad, de los cuales 18 son actualizaciones de avisos publicados anteriormente.

Los tipos de nuevas vulnerabilidades publicadas se corresponden con los siguientes:

  • desbordamiento de enteros,
  • exposición de información sensible a usuarios no autorizados,
  • XSS,
  • XSS básico,
  • inyección SQL,
  • limitación inadecuada de una ruta relativa a un directorio restringido (relative path traversal),
  • CSRF,
  • fallo en mecanismo de protección,
  • desbordamiento de búfer basado en montículo (heap),
  • desreferencia a puntero nulo,
  • desbordamiento de búfer,
  • excepción no controlada,
  • falta de autenticación en función crítica,
  • uso de claves criptográficas embebidas,
  • algoritmo de cifrado débil o directamente vulnerable,
  • credenciales insuficientemente protegidas.

Para estas vulnerabilidades se han asignado los siguientes identificadores: CVE-2020-13988, CVE-2019-19283, CVE-2019-19284, CVE-2019-19285, CVE-2019-19286, CVE-2019-19287, CVE-2019-19288, CVE-2019-19289, CVE-2020-28396, CVE-2019-15678, CVE-2019-15679, CVE-2019-15680, CVE-2019-8287, CVE-2020-15796, CVE-2020-25228, CVE-2020-25229, CVE-2020-25230, CVE-2020-25231, CVE-2020-25232, CVE-2020-25233, CVE-2020-25234 y CVE-2020-25235.

Encuesta valoración