Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Avisos de seguridad de Siemens de octubre de 2022

Fecha de publicación 11/10/2022
Identificador

INCIBE-2022-0958

Importancia
5 - Crítica
Recursos Afectados
  • Nucleus Source Code, versiones que incluyan el servidor FTP afectado.
  • Todas las versiones anteriores a:
    • 02.20.126.11-41 de varios productos Desigo listados en SSA-360783;
    • 17 Update 5 de varios productos SIMATIC HMI y SIPLUS HMI listados en SSA-384224;
    • 5.5.0 de varios productos SCALANCE listados en SSA-501891;
    • SE2022MP9 en Solid Edge;
    • 11.1.1.0 de JTTK;
    • 3.10 de varios productos SICAM listados en SSA-572005;
    • 1.5.1 de Industrial Edge Management;
    • 2017.02.6 de Nucleus ReadyStart V3.
  • Distintos modelos y versiones de varios productos:
    • RUGGEDCOM y SCALANCE listados en SSA-552702 y en SSA-697140;
    • SIMATIC listados en SSA-568427;
    • APOGEE, Desigo​​​​​ y TALON TC listados en SSA-935500;
  • Simcenter Femap:
    • 2022.1, versión 2022.1.3 y anteriores;
    • 2022.2, versión 2022.2.2 y anteriores.
  • Todas las versiones de:
    • Nucleus NET,
    • Cerberus DMS,
    • Desigo CC,
    • Desigo CC Compact.
    • LOGO! 8 BM (incluyendo variantes SIPLUS).
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 15 nuevos avisos de seguridad y una nota de información adicional para SSA-568427, recopilando un total de 24 vulnerabilidades, siendo 4 de severidad crítica, 13 altas, 6 medias y 1 baja.

Las vulnerabilidades de severidad crítica se corresponden con:

  • La clave privada no se protege de forma suficiente, lo que podría permitir a un atacante descubrirla mediante un ataque fuera de línea y obtener información confidencial de proyectos. Se ha asignado el identificador CVE-2022-38465 para esta vulnerabilidad.
  • Los dispositivos afectados no validan el parámetro GET de una solicitud específica, esto podría permitir a un atacante autenticado realizar una denegación de servicio o ejecutar código arbitrario. Se ha asignado el identificador CVE-2022-41665 para esta vulnerabilidad.
  • Las aplicaciones afectadas sólo utilizan la autenticación del lado del cliente, cuando no están habilitadas ni la autenticación del lado del servidor (SSA) ni la autenticación Kerberos, esto podría permitir a un atacante suplantar a otros usuarios o explotar el protocolo cliente-servidor sin estar autenticados. Se ha asignado el identificador CVE-2022-33139 para esta vulnerabilidad.
  • Los dispositivos afectados no validan correctamente la estructura de los paquetes TCP en varios métodos. Esto podría permitir a un atacante provocar desbordamientos de búfer, obtener el control del contador de instrucciones y ejecutar código personalizado. Se ha asignado el identificador CVE-2022-36361 para esta vulnerabilidad.

El listado completo de identificadores CVE puede consultarse en las referencias.

Encuesta valoración

Listado de referencias