Vulnerabilidad en Desigo PXC de Siemens
Se han visto afectados los siguientes productos Desigo PXC de Siemens:
- Desigo Automation Controllers Compact PXC12/22/36-E.D versiones anteriores a V6.00.204
- Desigo Automation Controllers Modular PXC00/50/100/200-E.D versiones anteriores a V6.00.204
- Desigo Automation Controllers PXC00/64/128-U with Web module versiones anteriores a V6.00.204
- Desigo Automation Controllers for Integration PXC001-E.D versiones anteriores a V6.00.204
- Desigo Operator Unit PXM20-E Versiones anteriores a V6.00.204
[Actualización 13/03/2019]:
- Para todos los productos anteriores se han añadido las versiones anteriores a V5.10.069, V5.00.171 y V4.10.111
Se ha identificado una vulnerabilidad crítica en Desigo PXC de Siemens, que podría permitir a un atacante remoto no autenticado cargar un firmware malicioso al dispositivo.
Para solucionar esta vulnerabilidad se deben actualizar los productos afectados a la versión 6.00.204 o superior desde:
https://support.industry.siemens.com/cs/ww/en/view/109481602
Siemens ha reportado una vulnerabilidad crítica en las estaciones de automatización y unidades de operación Desigo PX, que son usadas para el control y monitorización de automatismos en edificios. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto no autenticado, con acceso a la red del dispositivo afectado, cargar una nueva imagen de firmware maliciosa al dispositivo sin las autorizaciones necesarias. Para esta vulnerabilidad se ha reservado el identificador CVE-2018-4834.