Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Boletín de seguridad de Siemens de marzo de 2020

Fecha de publicación 10/03/2020
Importancia
4 - Alta
Recursos Afectados
  • Spectrum Power™ 5, todas las versiones anteriores a 5.50 HF02;
  • Familia SIMATIC S7-300 CPU (incluido las relacionadas con CPUs ET200 y variantes de SIPLUS), todas las versiones anteriores a 3.X.17;
  • SINUMERIK 840D sl, todas las versiones;
  • SiNVR 3 Central Control Server (CCS), todas las versiones;
  • SiNVR 3 Video Server, todas las versiones.
Descripción

Este aviso contiene 12 vulnerabilidades que afectan a múltiples productos de Siemens, de las cuales 5 son de severidad alta y 7 de severidad media.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas, pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles, aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle

Un atacante que aproveche alguna de las vulnerabilidades de severidad alta descritas en este aviso, podría realizar alguna de las siguientes acciones:

  • ejecución de operaciones en la base de datos a través de una inyección SQL;
  • ejecución de comandos del sistema operativo;
  • acceso y descarga de archivos arbitrarios del servidor;
  • denegación de servicio;
  • obtención de contraseñas;
  • hacer que el dispositivo afectado pase a modo por defecto.

Se han reservado los siguientes identificadores para estas vulnerabilidades: CVE-2019-19290, CVE-2019-19296, CVE-2019-19297, CVE-2019-19291, CVE-2019-19299, CVE-2019-19292, CVE-2019-19293, CVE-2019-19294, CVE-2019-19295, CVE-2019-19298, CVE-2019-18336 y CVE-2020-7579.

Encuesta valoración