Avisos de seguridad de Siemens de junio de 2023

Fecha de publicación 13/06/2023
Importancia
5 - Crítica
Recursos Afectados
  • Totally Integrated Automation Portal (TIA Portal): V14, V15, V15.1, V16, V17, V18.
  • SIMOTION versiones anteriores a V5.5 SP1 de:
    • C240 (6AU1240-1AA00-0AA0),
    • C240 PN (6AU1240-1AB00-0AA0),
    • D410-2 DP (6AU1410-2AA00-0AA0),
    • 2 DP/PN (6AU1410-2AD00-0AA0),
    • D425-2 DP (6AU1425-2AA00-0AA0),
    • D425-2 DP/PN (6AU1425-2AD00-0AA0),
    • D435-2 DP (6AU1435-2AA00-0AA0),
    • D435-2 DP/PN (6AU1435-2AD00-0AA0),
    • D445-2 DP/PN (6AU1445-2AD00-0AA0),
    • D445-2 DP/PN (6AU1445-2AD00-0AA1),
    • D455-2 DP/PN (6AU1455-2AD00-0AA0),
    • P320-4 E (6AU1320-4DE65-3AF0),
    • P320-4 S (6AU1320-4DS66-3AG0).
  • SIMATIC:
    • NET PC Software V14 y V15,
    • PCS 7 V8.2, V9.0, V9.1,
    • WinCC: versiones anteriores a V8.0,
  • SINAUT Software ST7sc.
  • SIMATIC Process Historian 2020 OPC UA Server.
  • SIMATIC S7-1500 TM MFP - Linux Kernel, BIOS.
  • SIMATIC PCS 7, S7-PM y STEP 7 V5.
  • SINAMICS PERFECT HARMONY GH180 y 6SR5.
  • TeleControl Server Basic V3.
  • POWER METER SICAM Q200: versiones anteriores a V2.70.
  • Solid Edge SE2023: versiones anteriores a V223.0. 
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 12 nuevos avisos de seguridad, recopilando un total de 204 vulnerabilidades de distintas severidades.

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

  • neutralización indebida de elementos especiales utilizados en un comando OS (CVE-2022-1292, CVE-2022-2068, CVE-2022-1292),
  • escritura fuera de límites (CVE-2022-2274),
  • uso después de memoria liberada (CVE-2021-33574),
  • desbordamiento de enteros (CVE-2021-35942),
  • copia del búfer sin comprobar el tamaño de la entrada (CVE-2022-23218, CVE-2022-23219),
  • validación incorrecta de las entradas (CVE-2022-43439, CVE-2022-43545, CVE-2022-43546),
  • autenticación inapropiada (CVE-2022-0547),
  • permisos por defecto incorrectos (CVE-2022-32207),
  • control inadecuado de la generación de código (CVE-2023-25910).

El listado completo de identificadores CVE puede consultarse en las referencias.

 

Listado de referencias
SSA-042050: Know-How Protection Mechanism Failure in TIA Portal
SSA-482956: Information Disclosure Vulnerability in SIMOTION before V5.5
SSA-508677: Use of Obsolete Function Vulnerability in SIMATIC WinCC before V8
SSA-538795: Multiple File Parsing Vulnerabilities in Teamcenter Visualization and JT2Go
SSA-731916: Multiple Vulnerabilities in CPCI85 Firmware of SICAM A8000 Devices
SSA-794697: Vulnerabilities in the Linux Kernel of the SIMATIC S7-1500 TM MFP V1.0
SSA-831302: Vulnerabilities in the BIOS of the SIMATIC S7-1500 TM MFP V1.0
SSA-887249: Multiple Vulnerabilities in the Web Interface of SICAM Q200 Devices
SSA-914026: Local Code Execution Vulnerability in SIMATIC WinCC V7
SSA-942865: Multiple Vulnerabilities in the Integrated SCALANCE S615 of SINAMICS Medium Voltage Products
SSA-968170: Remote Code Execution Vulnerability in SIMATIC STEP 7 V5.x and Derived Products
SSA-975766: Open Design Alliance Drawings SDK Vulnerability in Solid Edge
Siemens SICAM Q200 Devices
Siemens SIMOTION
Siemens SICAM Q200 Devices
Siemens TIA Portal
Siemens SIMATIC WinCC V7
Siemens SIMATIC STEP 7 and Derived Products
Siemens Solid Edge
Siemens SIMATIC S7-1500 TM MFP BIOS
Siemens SIMATIC S7-1500 TM MFP Linux Kernel
​Siemens SINAMICS Medium Voltage Products
Siemens SICAM A8000 Devices
​Siemens Teamcenter Visualization and JT2Go
Etiquetas