Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Avisos de seguridad de Siemens de junio de 2024

Fecha de publicación 07/06/2024
Identificador
INCIBE-2024-0301
Importancia
5 - Crítica
Recursos Afectados
  • PowerSys,
  • SINEC Traffic Analyzer,
  • SITOP UPS1600,
  • TIA Administrator,
  • SIPLUS TIM 1531 IRC,
  • TIM 1531 IRC,
  • ST7 ScadaConnect,
  • SIMATIC S7-200 SMART CPU CR20, CR30, CR40 y CR60, 
  • Mendix Applications using Mendix 9 y 10,
  • CPCX26 Central Processing/Communication,
  • ETA4 Ethernet Interface IEC60870-5-104 y ETA5 Ethernet Int. 1x100TX IEC61850 Ed.2,
  • PCCX26 Ax 1703 PE, Contr, Communication,
    Element,
  • SIMATIC CP,
  • SIPLUS ET 200SP CP,
  • JT2Go,
  • Teamcenter Visualization,
  • SCALANCE,
  • Tecnomatix Plant Simulation.

Consultar modelos concretos y versiones afectadas en las referencias.

Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 nuevos avisos de seguridad, recopilando un total de 87 vulnerabilidades de distintas severidades.

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

  • Lectura fuera de límites (CVE-2023-41910, CVE-2023-41910),
  • Autenticación incorrecta (CVE-2024-36266).

El listado completo de identificadores CVE puede consultarse en las referencias.

Listado de referencias
SSA-024584: Authentication Bypass Vulnerability in PowerSys before V3.11
SSA-196737: Multiple Vulnerabilities in SINEC Traffic Analyzer before V1.2
SSA-238730: Out-of-Bounds Write Vulnerabilities in SITOP UPS1600 before V2.5.4
SSA-319319: Denial of Service Vulnerability in TIA Administrator
SSA-337522: Multiple Vulnerabilities in TIM 1531 IRC before V2.4.8
SSA-341067: Multiple vulnerabilities in third-party components in ST7 ScadaConnect before V1.1
SSA-481506: Information Disclosure Vulnerability in SIMATIC S7-200 SMART Devices
SSA-540640: Improper Privilege Management Vulnerability in Mendix Runtime
SSA-620338: Buffer Overflow Vulnerability in SICAM AK3 / BC / TM
SSA-625862: Multiple Vulnerabilities in Third-Party Components in SIMATIC CP 1542SP-1 and CP 1543SP-1 before V2.3
SSA-690517: Multiple Vulnerabilities in SCALANCE W700 802.11 AX Family
SSA-771940: X_T File Parsing Vulnerabilities in Teamcenter Visualization and JT2Go
SSA-879734: Multiple Vulnerabilities in SCALANCE XM-400/XR-500 before V6.6.1
SSA-900277: MODEL File Parsing Vulnerability in Tecnomatix Plant Simulation before V2302.0012 and V2024.0001
ICSA-24-165-01 Siemens Mendix Applications
ICSA-24-165-02 Siemens SIMATIC S7-200 SMART Devices
ICSA-24-165-03 Siemens TIA Administrator
ICSA-24-165-04 Siemens ST7 ScadaConnect
ICSA-24-165-05 Siemens SITOP UPS1600
ICSA-24-165-06 Siemens TIM 1531 IRC
ICSA-24-165-07 Siemens PowerSys
ICSA-24-165-08 Siemens Teamcenter Visualization and JT2Go
ICSA-24-165-09 Siemens SICAM AK3/BC/TM
ICSA-24-165-10 Siemens SIMATIC and SIPLUS
ICSA-24-165-11 Siemens SCALANCE XM-400, XR-500
ICSA-24-165-12 Siemens SCALANCE W700
ICSA-24-165-13 Siemens SINEC Traffic Analyzer
Etiquetas