Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Avisos de seguridad de Siemens de noviembre de 2022

Fecha de publicación 08/11/2022
Identificador

INCIBE-2022-1006

Importancia
5 - Crítica
Recursos Afectados
  • Parasolid, versiones:
    • anteriores a 34.0.252;
    • anteriores a 34.1.242;
    • anteriores a 35.0.170;
    • solo afectados por CVE-2022-39157:
      • desde 34.0.252 hasta la anterior a 34.0.254;
      • desde 34.1.242 hasta la anterior a 34.1.244;
      • desde 35.0.170 hasta la anterior a 35.0.184.
  • Distintos modelos y versiones del producto RUGGEDCOM ROS listados en SSA-787941.
  • Todas las versiones de:
    • QMS Automotive,
    • SINUMERIK MC,
    • SINUMERIK ONE,
    • SCALANCE W1750D:
      • 6GK5750-2HX01-1AD0;
      • 6GK5750-2HX01-1AA0;
      • 6GK5750-2HX01-1AB0.
  • POWER METER SICAM Q100 (7KG9501-0AA01-2AA1 y 7KG9501-0AA31-2AA1), versiones anteriores a 2.50.
  • Distintos modelos y versiones de los productos SIMATIC y SIPLUS listados en SSA-478960.
  • SINEC NMS, versiones anteriores a 1.0.3.
  • JT2Go, versiones anteriores a 14.1.0.4.
  • Teamcenter Visualization, versiones anteriores a:
    • 13.3.0.7 (esta versión y superiores solo están afectadas por CVE-2022-39136);
    • 14.0.0.3;
    • 14.1.0.4.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 9 nuevos avisos de seguridad, recopilando un total de 30 vulnerabilidades, siendo 11 de severidad crítica, 12 altas y 7 medias.

La explotación de las vulnerabilidades de severidad crítica podrían permitir las siguientes acciones:

  • detener el dispositivo o ejecutar código arbitrario (CVE-2022-43439, CVE-2022-43545 y CVE-2022-43546);
  • extraer información confidencial de configuraciones o realizar ataques contra comunicaciones legacy PG/PC y HMI (CVE-2022-38465);
  • ejecutar código de forma remota o comandos arbitrarios (CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889, CVE-2022-37890 y CVE-2022-37891).

El listado completo de identificadores CVE puede consultarse en las referencias.

Encuesta valoración