Avisos de seguridad de Siemens de febrero de 2023

Fecha de publicación 14/02/2023
Importancia
5 - Crítica
Recursos Afectados
  • Mendix Runtine, distintas versiones listadas en SSA-252808;
  • Simcenter Femap, todas las versiones anteriores a V2023.1;
  • SCALANCE X-200IRT, distintas versiones y modelos listados en SSA-617755;
  • TIA Multiuser Server, distintas versiones listadas en SSA-640968;
  • Productos SIMATIC que integran procesadores INTEL, distintas versiones y modelos listados en SSA-686975;
  • COMOS, distintas versiones listadas en SSA-693110;
  • SiPass integrated, distintas versiones y modelos listados en SSA-658793;
  • Tecnomatix Plant Simulation, todas las versiones anteriores a V2201.0006;
  • JT Open, JT Utilities yParasolid, distintas versiones listadas en SSA-836777;
  • Brownfield Connectivity - Client, todas las versiones anteriores a V2.15;
  • Brownfield Connectivity - Gateway:
    • todas las versiones anteriores a V1.10,
    • versión V1.10.1 (solo afectada por CVE-2022-24675, CVE-2022-27536, CVE-2022-28327).
  • Familia de productos RUGGEDCOM APE1808, todas las versiones;
  • Solid Edge, distintas versiones listadas en SSA-491245.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 13 nuevos avisos de seguridad, recopilando un total de 86 vulnerabilidades de distintas severidades.

La explotación de las vulnerabilidades de severidad crítica podrían permitir las siguientes acciones:

  • ejecución arbitraria de código (CVE-2023-24482);
  • inyección de comandos (CVE-2022-1292).

El listado completo de identificadores CVE puede consultarse en las referencias.

Encuesta valoración

Listado de referencias
SSA-953464: Multiple Vulnerabilites in Siemens Brownfield Connectivity - Client before V2.15
SSA-847261: Multiple SPP File Parsing Vulnerabilities in Tecnomatix Plant Simulation
SSA-836777: JT File Parsing Vulnerabilities in JT Open, JT Utilities and Parasolid
SSA-744259: Golang Vulnerabilities in Brownfield Connectivity - Gateway before V1.10.1
SSA-693110: Buffer Overflow Vulnerability in COMOS
SSA-686975: IPU 2022.3 Vulnerabilities in Siemens Industrial Products using Intel CPUs
SSA-658793: Command Injection Vulnerability in SiPass integrated AC5102 / ACC-G2 and ACC-AP
SSA-640968: Untrusted Search Path Vulnerability in TIA Project-Server formerly known as TIA Multiuser Server
SSA-617755: Denial of Service Vulnerability in the SNMP Agent of SCALANCE X-200IRT Products
SSA-565356: X_T File Parsing Vulnerabilities in Simcenter Femap before V2023.1
SSA-491245: Multiple File Parsing Vulnerabilities in Solid Edge
SSA-450613: Insyde BIOS Vulnerabilities in RUGGEDCOM APE1808 Product Family
SSA-252808: XPath Constraint Vulnerability in Mendix Runtime
ICS Advisory (ICSA-23-047-01) Siemens Solid Edge
ICS Advisory (ICSA-23-047-02) Siemens SCALANCE X200 IRT
ICS Advisory (ICSA-23-047-03) Siemens Brownfield Connectivity Client
ICS Advisory (ICSA-23-047-04) Siemens Brownfield Connectivity Gateway
ICS Advisory (ICSA-23-047-05) Siemens SiPass integrated AC5102 / ACC-G2 and ACC-AP
ICS Advisory (ICSA-23-047-06) Siemens Simcenter Femap before V2023.1
ICS Advisory (ICSA-23-047-07) Siemens TIA Project-Server formerly known as TIA Multiuser Server
ICS Advisory (ICSA-23-047-08) Siemens RUGGEDCOM APE1808
ICS Advisory (ICSA-23-047-09) Siemens SIMATIC Industrial Products
ICS Advisory (ICSA-23-047-10) Siemens COMOS
ICS Advisory (ICSA-23-047-11) Siemens Mendix
ICS Advisory (ICSA-23-047-12) Siemens JT Open, JT Utilities, and Parasolid
ICSA-23-080-03 - Siemens RUGGEDCOM APE1808 Product Family
Etiquetas