Boletín de seguridad de Siemens de marzo de 2020
- Spectrum Power™ 5, todas las versiones anteriores a 5.50 HF02;
- Familia SIMATIC S7-300 CPU (incluido las relacionadas con CPUs ET200 y variantes de SIPLUS), todas las versiones anteriores a 3.X.17;
- SINUMERIK 840D sl, todas las versiones;
- SiNVR 3 Central Control Server (CCS), todas las versiones;
- SiNVR 3 Video Server, todas las versiones.
Este aviso contiene 12 vulnerabilidades que afectan a múltiples productos de Siemens, de las cuales 5 son de severidad alta y 7 de severidad media.
Las actualizaciones que corrigen las vulnerabilidades indicadas, pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles, aplicar las medidas de mitigación descritas en la sección de Referencias.
Un atacante que aproveche alguna de las vulnerabilidades de severidad alta descritas en este aviso, podría realizar alguna de las siguientes acciones:
- ejecución de operaciones en la base de datos a través de una inyección SQL;
- ejecución de comandos del sistema operativo;
- acceso y descarga de archivos arbitrarios del servidor;
- denegación de servicio;
- obtención de contraseñas;
- hacer que el dispositivo afectado pase a modo por defecto.
Se han reservado los siguientes identificadores para estas vulnerabilidades: CVE-2019-19290, CVE-2019-19296, CVE-2019-19297, CVE-2019-19291, CVE-2019-19299, CVE-2019-19292, CVE-2019-19293, CVE-2019-19294, CVE-2019-19295, CVE-2019-19298, CVE-2019-18336 y CVE-2020-7579.