Boletín de seguridad de Siemens de abril de 2020

Fecha de publicación 14/04/2020
Importancia
5 - Crítica
Recursos Afectados
  • Climatix POL908 (BACnet/IP module), todas las versiones; 
  • Climatix POL909 (AWM module), todas las versiones; 
  • IE/PB-Link V3, todas las versiones; 
  • KTK ATE530S, todas las versiones; 
  • RUGGEDCOM RM1224, todas las versiones anteriores a la versión 6.1; 
  • RUGGEDCOM ROX II, todas las versiones anteriores a la versión 2.13.3; 
  • SCALANCE:
    • M-800 family, todas las versiones anteriores a la versión 6.1; 
    • S615, todas las versiones anteriores a la versión 6.1;
    • SC-600, todas las versiones anteriores a la versión 2.0;
    • W1700 IEEE 802.11ac, todas las versiones anteriores a la versión 2.0;
    • W700 IEEE 802.11a/b/g/n, todas las versiones anteriores a la versión 6.4;
    • X-200 switch family (incluidas las variantes SIPLUSNET), todas las versiones;
    • X-200IRT switch family (incluidas las variantes SIPLUSNET), todas las versiones;
    • X-300 switch family (incluidas las variantes X408 y SIPLUS NET), todas las versiones.
  • SIDOOR ATD430W, ATE530S COATED y ATE531S, todas las versiones; 
  • SIMATIC CP 1242-7, todas las versiones anteriores a la versión 3.2; 
  • SIMATIC CP 1243-1 (incluidas las variantes SIPLUS NET), todas las versiones anteriores a la versión 3.2; 
  • SIMATIC CP 1243-7 LTE EU, todas las versiones anteriores a la versión 3.2; 
  • SIMATIC CP 1243-7 LTE US, todas las versiones anteriores a la versión 3.2; 
  • SIMATIC CP 1243-8 IRC, todas las versiones anteriores a la versión 3.2; 
  • SIMATIC CP 1542SP-1 IRC (incluidas las variantes SIPLUS NET), todas las versiones anteriores a la versión 2.1; 
  • SIMATIC CP 1542SP-1, todas las versiones anteriores a la versión 2.1; 
  • SIMATIC CP 1543-1 (incluidas las variantes SIPLUS NET), todas las versiones anteriores a la versión 2.2; 
  • SIMATIC CP 1543SP-1 (incluidas las variantes SIPLUS NET), todas las versiones anteriores a la versión 2.1; 
  • SIMATIC CP 443-1 (incluidas las variantes SIPLUS NET), todas las versiones; 
  • SIMATIC CP 443-1 Advanced (incluidas las variantes SIPLUS NET), todas las versiones; 
  • SIMATIC ET 200SP Interfacemodul IM 155-6 MF HF, todas las versiones; 
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC (incluidas las variantes SIPLUS), todas las versiones anteriores a la versión 2.0; 
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incluidas las variantes SIPLUS), todas las versiones anteriores a la versión 2.0; 
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incluidas las variantes SIPLUS), todas las versiones de BIOS anteriores a la versión 2.08; 
  • SIMATIC ET200MP IM155-5 PN HF (incluidas las variantes SIPLUS), versión 4.2 y anteriores; 
  • SIMATIC ET200SP IM155-6 PN HA (incluidas las variantes SIPLUS), todas las versiones; 
  • SIMATIC ET200SP IM155-6 PN HF (incluidas las variantes SIPLUS), versión 4.2 y anteriores; 
  • SIMATIC ET200SP IM155-6 PN/2 HF (incluidas las variantes SIPLUS), versión 4.2 y anteriores; 
  • SIMATIC ET200SP IM155-6 PN/3 HF (incluidas las variantes SIPLUS), versión 4.2 y anteriores; 
  • SIMATIC Field PG M4, PG M5 y PG M6, todas las versiones; 
  • SIMATIC IPC127E, todas las versiones de BIOS anteriores a la versión 27.01.04; 
  • SIMATIC IPC427C, todas las versiones; 
  • SIMATIC IPC427D (incluidas las variantes SIPLUS), todas las versiones; 
  • SIMATIC IPC427E (incluidas las variantes SIPLUS), todas las versiones; 
  • SIMATIC IPC477C, todas las versiones; 
  • SIMATIC IPC477D, todas las versiones; 
  • SIMATIC IPC477E Pro, todas las versiones; 
  • SIMATIC IPC477E, todas las versiones; 
  • SIMATIC IPC527G, todas las versiones; 
  • SIMATIC IPC547E, todas las versiones; 
  • SIMATIC IPC547G, todas las versiones; 
  • SIMATIC IPC627C, todas las versiones; 
  • SIMATIC IPC627D, todas las versiones; 
  • SIMATIC IPC627E, todas las versiones de BIOS anteriores a la versión 25.02.05; 
  • SIMATIC IPC647C, todas las versiones; 
  • SIMATIC IPC647D, todas las versiones; 
  • SIMATIC IPC647E, todas las versiones de BIOS anteriores a la versión 25.02.05; 
  • SIMATIC IPC677C, todas las versiones; 
  • SIMATIC IPC677D, todas las versiones; 
  • SIMATIC IPC677E, todas las versiones de BIOS anteriores a la versión 25.02.05; 
  • SIMATIC IPC827C, todas las versiones; 
  • SIMATIC IPC827D, todas las versiones; 
  • SIMATIC IPC827E, todas las versiones; 
  • SIMATIC IPC847C, todas las versiones; 
  • SIMATIC IPC847D, todas las versiones; 
  • SIMATIC IPC847E, todas las versiones de BIOS anteriores a la versión 25.02.05; 
  • SIMATIC ITP1000, todas las versiones; 
  • SIMATIC MICRO-DRIVE PDC, todas las versiones; 
  • SIMATIC PN/PN Coupler (incluidas las variantes SIPLUS NET), versión 4.2 y anteriores; 
  • SIMATIC RF180C, todas las versiones; 
  • SIMATIC RF182C, todas las versiones; 
  • SIMATIC RF185C, todas las versiones; 
  • SIMATIC RF186C y RF186CI, todas las versiones; 
  • SIMATIC RF188C y RF188CI, todas las versiones; 
  • SIMATIC S7-1500 CPU family (incluidas las variantes related ET200 CPUs y SIPLUS), todas las versiones anteriores a la versión 2.0; 
  • SIMATIC S7-1500 Software Controller, todas las versiones anteriores a la versión 2.0; 
  • SIMATIC S7-300 CPU family (incluidas las variantes related ET200 CPUs y SIPLUS), todas las versiones; 
  • SIMATIC S7-400 PN/DP V7 y CPU family inferiores (incluidas las variantes SIPLUS), todas las versiones; 
  • SIMATIC S7-410 CPU family (incluidas las variantes SIPLUS), todas las versiones; 
  • SIMATIC TDC CP51M1, todas las versiones; 
  • SIMATIC TDC CPU555, todas las versiones; 
  • SIMATIC WinAC RTX (F) 2010, todas las versiones; 
  • SIMOTION P320-4E, todas las versiones; 
  • SIMOTION P320-4S, todas las versiones; 
  • SINAMICS S/G Control Unit w. PROFINET, todas las versiones; 
  • SINEMA Remote Connect Server, todas las versiones >V1.1 y <V2.0.1; 
  • TIM 3V-IE (incluidas las variantes SIPLUS NET), todas las versiones anteriores a la versión 2.8; 
  • TIM 3V-IE Advanced (incluidas las variantes SIPLUS NET), todas las versiones anteriores a la versión 2.8; 
  • TIM 3V-IE DNP3 (incluidas las variantes SIPLUS NET), todas las versiones anteriores a la versión 3.3; 
  • TIM 4R-IE (incluidas las variantes SIPLUS NET), todas las versiones anteriores a la versión 2.8; 
  • TIM 4R-IE DNP3 (incluidas las variantes SIPLUS NET), todas las versiones anteriores a la versión 3.3.
Descripción

Este aviso contiene 10 vulnerabilidades que afectan a múltiples productos de Siemens, de las cuales 2 son de severidad crítica, 6 de severidad alta y 2 de severidad media.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles hay que aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle

Un atacante que aproveche alguna de las vulnerabilidades de severidad alta descritas en este aviso podría realizar alguna de las siguientes acciones:  

  • generar una condición de Denegación de Servicio (DoS);
  • obtener el control del dispositivo;
  • escalada de privilegios;
  • revelar información;
  • ejecución remota de código.

Se han reservado los siguientes identificadores para estas vulnerabilidades: CVE-2019-19301, CVE-2019-10939, CVE-2018-5390, CVE-2018-5391, CVE-2019-0151, CVE-2019-0152, CVE-2019-0169, CVE-2019-19300, CVE-2020-7574 y CVE-2020-7575.

Encuesta valoración

Listado de referencias
SSA-102233: SegmentSmack in VxWorks-based Industrial Devices
SSA-359303: Debug Port in TIM 3V-IE and 4R-IE Family Devices
SSA-377115: SegmentSmack in Linux IP-Stack based Industrial Devices
SSA-398519: Vulnerabilities in Intel CPUs (November 2019)
SSA-593272: SegmentSmack in Interniche IP-Stack based Industrial Devices
SSA-886514: Persistent XSS Vulnerabilities in the Web Interface of Climatix POL908 and POL909 Modules
ICS Advisory (ICSA-20-105-04) Siemens Climatix
ICS Advisory (ICSA-20-105-05) Siemens IE/PB-Link, RUGGEDCOM, SCALANCE, SIMATIC, SINEMA
ICS Advisory (ICSA-20-105-07) Siemens SCALANCE & SIMATIC
ICS Advisory (ICSA-20-105-08) Siemens KTK, SIDOOR, SIMATIC, and SINAMICS
ICS Advisory (ICSA-20-105-09) Siemens TIM 3V-IE and 4R-IE Family Devices
Etiquetas