Avisos de seguridad de Siemens de enero de 2024

Fecha de publicación 09/01/2024
Importancia
5 - Crítica
Recursos Afectados
  • Versiones anteriores a CPCI85 05.20 de:
    • CP-8031 MASTER MODULE (6MF2803-1AA00);
    • CP-8050 MASTER MODULE (6MF2805-0AA00).
  • Solid Edge 2023, versiones anteriores a 223.0 Update 10.
  • Todas las versiones de SIMATIC IPC647E, IPC847E y IPC1047E con MaxView Storage Manager anterior a 4.14.00.26068 en Windows.
  • SIMATIC CN 4100, versiones anteriores a 2.7.
  • Spectrum Power 7, versiones anteriores a 23Q4.
  • JT2Go, versiones anteriores a 14.3.0.6.
  • Teamcenter Visualization, versiones anteriores a:
    • 13.3.0.13;
    • 14.1.0.12;
    • 14.2.0.9;
    • 14.3.0.6.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 6 nuevos avisos de seguridad, recopilando un total de 21 vulnerabilidades de distintas severidades.

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

  • En las instalaciones por defecto de MaxView Storage Manager en las que el servidor Redfish está configurado para la gestión remota del sistema, se ha identificado una vulnerabilidad que podría proporcionar acceso no autorizado (CVE-2023-51438).
  • El estado del sistema "instalación intermedia" de SIMATIC CN 4100 utiliza credenciales por defecto con privilegios de administrador, que podrían ser utilizadas por un atacante para obtener el control total del dispositivo afectado (CVE-2023-49621).

El listado completo de identificadores CVE puede consultarse en las referencias.

Listado de referencias
SSA-794653: Multiple File Parsing Vulnerabilities in Teamcenter Visualization and JT2Go
SSA-786191: Local Privilege Escalation Vulnerability in Spectrum Power 7
SSA-777015: Multiple Vulnerabilities in SIMATIC CN 4100 before V2.7
SSA-702935: Redfish Server Vulnerability in maxView Storage Manager
SSA-589891: Multiple PAR File Parsing Vulnerabilities in Solid Edge
SSA-583634: Command Injection Vulnerability in the CPCI85 Firmware of SICAM A8000 Devices
ICSA-24-011-06 Siemens Teamcenter Visualization and JT2Go
ICSA-24-011-07 Siemens Spectrum Power 7
ICSA-24-011-08 Siemens SICAM A8000
ICSA-24-011-09 Siemens SIMATIC CN 4100
ICSA-24-011-10 Siemens SIMATIC
ICSA-24-011-11 Siemens Solid Edge
Etiquetas