Avisos de seguridad de Siemens de noviembre de 2022

Fecha de publicación 08/11/2022
Importancia
5 - Crítica
Recursos Afectados
  • Parasolid, versiones:
    • anteriores a 34.0.252;
    • anteriores a 34.1.242;
    • anteriores a 35.0.170;
    • solo afectados por CVE-2022-39157:
      • desde 34.0.252 hasta la anterior a 34.0.254;
      • desde 34.1.242 hasta la anterior a 34.1.244;
      • desde 35.0.170 hasta la anterior a 35.0.184.
  • Distintos modelos y versiones del producto RUGGEDCOM ROS listados en SSA-787941.
  • Todas las versiones de:
    • QMS Automotive,
    • SINUMERIK MC,
    • SINUMERIK ONE,
    • SCALANCE W1750D:
      • 6GK5750-2HX01-1AD0;
      • 6GK5750-2HX01-1AA0;
      • 6GK5750-2HX01-1AB0.
  • POWER METER SICAM Q100 (7KG9501-0AA01-2AA1 y 7KG9501-0AA31-2AA1), versiones anteriores a 2.50.
  • Distintos modelos y versiones de los productos SIMATIC y SIPLUS listados en SSA-478960.
  • SINEC NMS, versiones anteriores a 1.0.3.
  • JT2Go, versiones anteriores a 14.1.0.4.
  • Teamcenter Visualization, versiones anteriores a:
    • 13.3.0.7 (esta versión y superiores solo están afectadas por CVE-2022-39136);
    • 14.0.0.3;
    • 14.1.0.4.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 9 nuevos avisos de seguridad, recopilando un total de 30 vulnerabilidades, siendo 11 de severidad crítica, 12 altas y 7 medias.

La explotación de las vulnerabilidades de severidad crítica podrían permitir las siguientes acciones:

  • detener el dispositivo o ejecutar código arbitrario (CVE-2022-43439, CVE-2022-43545 y CVE-2022-43546);
  • extraer información confidencial de configuraciones o realizar ataques contra comunicaciones legacy PG/PC y HMI (CVE-2022-38465);
  • ejecutar código de forma remota o comandos arbitrarios (CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889, CVE-2022-37890 y CVE-2022-37891).

El listado completo de identificadores CVE puede consultarse en las referencias.

Encuesta valoración

Listado de referencias
SSA-853037: File Parsing Vulnerabilities in Parasolid
SSA-787941: Denial of Service Vulnerability in RUGGEDCOM ROS V4
SSA-587547: Unencrypted Storage of User Credentials in QMS Automotive
SSA-570294: Multiple Vulnerabilities in SICAM Q100 Before V2.50
SSA-568428: Weak Key Protection Vulnerability in SINUMERIK ONE and SINUMERIK MC
SSA-506569: Multiple Vulnerabilities in SCALANCE W1750D
SSA-478960: Missing CSRF Protection in the Web Server Login Page of Industrial Controllers
SSA-371761: Arbitrary Code Execution Vulnerability in the Logback Component of SINEC NMS before V1.0.3
SSA-120378: Multiple File Parsing Vulnerabilities in Teamcenter Visualization and JT2Go
ICS Advisory (ICSA-22-314-11) Siemens SICAM Q100
ICS Advisory (ICSA-22-314-10) Siemens SCALANCE W1750D
ICS Advisory (ICSA-22-314-09) Siemens Teamcenter Visualization and JT2Go
ICS Advisory (ICSA-22-314-06) Siemens QMS Automotive
ICS Advisory (ICSA-22-314-05) Siemens RUGGEDCOM ROS
ICS Advisory (ICSA-22-314-04) Siemens SINUMERIK ONE and SINUMERIK MC
ICS Advisory (ICSA-22-314-03) Siemens SINEC Network Management System Logback Component
ICS Advisory (ICSA-22-314-02) Siemens Web Server Login Page of Industrial Controllers
ICS Advisory (ICSA-22-314-01) Siemens Parasolid
Etiquetas