Avisos de seguridad de Siemens de octubre de 2023

Fecha de publicación 10/10/2023
Importancia
5 - Crítica
Recursos Afectados
  • SICAM PAS/PQS;
  • SICAM A8000 CP-8031 y CP-8050;
  • SINEC NMS;
  • Mendix;
  • Simcenter Amesim;
  • Siemens Tecnomatix Plant Simulation;
  • SINEMA Server V14;
  • RUGGEDCOM APE1808;
  • SIMATIC CP (1604, 1616, 1623, 1626, 1628);
  • Xpedition Layout Browser;
  • SCALANCE W1750D.

Ver modelos concretos y versiones afectadas en la sección de 'Referencias'.

Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 12 nuevos avisos de seguridad, recopilando un total de 38 vulnerabilidades de distintas severidades.

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

  • uso de credenciales codificadas (CVE-2023-36380);
  • ejecución de código (CVE-2023-43625);
  • desbordamiento de búfer (CVE-2023-22779, CVE-2023-22780, CVE-2023-22781, CVE-2023-22782, CVE-2023-22783, CVE-2023-22784, CVE-2023-22785 y CVE-2023-22786).

El listado completo de identificadores CVE puede consultarse en las referencias.

Listado de referencias
SSA-843070 - Multiple Vulnerabilities in SCALANCE W1750D
SSA-386812 - Remote Code Execution Vulnerability in Simcenter Amesim before V2021.1
SSA-134651 - Hard Coded SSH ID in CPCI85 Firmware of SICAM A8000 Devices
SSA-829656 - Stack Overflow Vulnerability in Xpedition Layout Browser
SSA-784849 - Direct Memory Access Vulnerabilities in SIMATIC CP Devices
SSA-770890 - Path Traversal Vulnerability in the Web Server of CPCI85 Firmware of SICAM A8000 Devices
SSA-647455 - Multiple Vulnerabilities in Nozomi Guardian/CMC before 22.6.2 on RUGGEDCOM APE1808 devices
SSA-594373 - Cross-Site-Scripting (XSS) Vulnerability in SINEMA Server V14
SSA-524778 - File Parsing Vulnerabilities in Tecnomatix Plant Simulation
SSA-295483 - User Enumeration Vulnerability in Mendix Forgot Password Module
SSA-160243 - Multiple Vulnerabilities in SINEC NMS before V2.0
SSA-035466 - Incorrect Permission Assignment in SICAM PAS/PQS
ICSA-23-285-01 Siemens SIMATIC CP products
ICSA-23-285-02 Siemens SCALANCE W1750D
ICSA-23-285-03 Siemens SICAM A8000 Devices
ICSA-23-285-04 Siemens Xpedition Layout Browser
ICSA-23-285-05 Siemens Simcenter Amesim
ICSA-23-285-06 Siemens SICAM PAS/PQS
ICSA-23-285-07 Siemens RUGGEDCOM APE180
ICSA-23-285-08 Siemens SINEC NMS
ICSA-23-285-09 Siemens CPCI85 Firmware of SICAM A8000 Devices
ICSA-23-285-10 Siemens Tecnomatix Plant Simulation
ICSA-23-285-11 Siemens Mendix Forgot Password Module
Etiquetas