Avisos de seguridad de Siemens de noviembre de 2022
INCIBE-2022-1006
- Parasolid, versiones:
- anteriores a 34.0.252;
- anteriores a 34.1.242;
- anteriores a 35.0.170;
- solo afectados por CVE-2022-39157:
- desde 34.0.252 hasta la anterior a 34.0.254;
- desde 34.1.242 hasta la anterior a 34.1.244;
- desde 35.0.170 hasta la anterior a 35.0.184.
- Distintos modelos y versiones del producto RUGGEDCOM ROS listados en SSA-787941.
- Todas las versiones de:
- QMS Automotive,
- SINUMERIK MC,
- SINUMERIK ONE,
- SCALANCE W1750D:
- 6GK5750-2HX01-1AD0;
- 6GK5750-2HX01-1AA0;
- 6GK5750-2HX01-1AB0.
- POWER METER SICAM Q100 (7KG9501-0AA01-2AA1 y 7KG9501-0AA31-2AA1), versiones anteriores a 2.50.
- Distintos modelos y versiones de los productos SIMATIC y SIPLUS listados en SSA-478960.
- SINEC NMS, versiones anteriores a 1.0.3.
- JT2Go, versiones anteriores a 14.1.0.4.
- Teamcenter Visualization, versiones anteriores a:
- 13.3.0.7 (esta versión y superiores solo están afectadas por CVE-2022-39136);
- 14.0.0.3;
- 14.1.0.4.
Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.
Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.
Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 9 nuevos avisos de seguridad, recopilando un total de 30 vulnerabilidades, siendo 11 de severidad crítica, 12 altas y 7 medias.
La explotación de las vulnerabilidades de severidad crítica podrían permitir las siguientes acciones:
- detener el dispositivo o ejecutar código arbitrario (CVE-2022-43439, CVE-2022-43545 y CVE-2022-43546);
- extraer información confidencial de configuraciones o realizar ataques contra comunicaciones legacy PG/PC y HMI (CVE-2022-38465);
- ejecutar código de forma remota o comandos arbitrarios (CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889, CVE-2022-37890 y CVE-2022-37891).
El listado completo de identificadores CVE puede consultarse en las referencias.