Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Desigo PXC de Siemens

Fecha de publicación 25/01/2018
Importancia
5 - Crítica
Recursos Afectados

Se han visto afectados los siguientes productos Desigo PXC de Siemens:

  • Desigo Automation Controllers Compact PXC12/22/36-E.D versiones anteriores a V6.00.204
  • Desigo Automation Controllers Modular PXC00/50/100/200-E.D versiones anteriores a V6.00.204
  • Desigo Automation Controllers PXC00/64/128-U with Web module versiones anteriores a V6.00.204
  • Desigo Automation Controllers for Integration PXC001-E.D versiones anteriores a V6.00.204
  • Desigo Operator Unit PXM20-E Versiones anteriores a V6.00.204

[Actualización 13/03/2019]:

  • Para todos los productos anteriores se han añadido las versiones anteriores a V5.10.069, V5.00.171 y V4.10.111
Descripción

Se ha identificado una vulnerabilidad crítica en Desigo PXC de Siemens, que podría permitir a un atacante remoto no autenticado cargar un firmware malicioso al dispositivo.

Solución

Para solucionar esta vulnerabilidad se deben actualizar los productos afectados a la versión 6.00.204 o superior desde:

https://support.industry.siemens.com/cs/ww/en/view/109481602

Detalle

Siemens ha reportado una vulnerabilidad crítica en las estaciones de automatización y unidades de operación Desigo PX, que son usadas para el control y monitorización de automatismos en edificios. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto no autenticado, con acceso a la red del dispositivo afectado, cargar una nueva imagen de firmware maliciosa al dispositivo sin las autorizaciones necesarias. Para esta vulnerabilidad se ha reservado el identificador CVE-2018-4834.

Encuesta valoración