Denegación de servicio en múltiples productos de Siemens
Fecha de publicación
21/03/2018
Importancia
3 - Media
Recursos Afectados
- Múltiples productos SIMATIC
- SINUMERIK 828D: Todas las versiones.
- Softnet PROFINET IO para sistemas basados en Windows: Todas las versiones.
[Actualización 28/03/2018] Siemens ha eliminado SINUMERIK 840D sl de los productos afectados.
Descripción
El ProductCERT de Siemens ha reportado una vulnerabilidad de severidad media que podría permitir a un usuario provocar una condición de denegación de servicio en los productos afectados.
Solución
Siemens proporciona las siguientes actualizaciones:
- SIMATIC S7-1500 Software Controller incl. F: actualizar a la versión 1.8.5 o más nueva: https://support.industry.siemens.com/cs/ww/en/view/109478528
- SIMATIC S7-1500 incl. F: actualizar a versión 1.8.5 o más nueva: https://ics-cert.us-cert.gov/advisories/ICSA-18-079-02
- SIMATIC S7-400 PN/DP V6 Incl. F: actualizar a versión 6.0.7: https://support.industry.siemens.com/cs/ww/en/view/109474874
- SIMATIC S7-410: actualizar a versión 8.1: https://support.industry.siemens.com/cs/ww/en/view/109476571
- [Actualización 06/02/2019]: SIMATIC S7-300 incluidos F y T: actualizar a la versión v3.X.16: https://support.industry.siemens.com/cs/ww/en/ps/13752/dl
- [Actualización 14/05/2019] SIMATIC S7-400 H V6: actualizar a la versión 6.0.9
Para el resto de productos afectados, se recomiendan las siguientes medidas preventivas:
- Aplicar el concepto de protección de celdas o zonas (protection cell)
- Usar VPNs para proteger comunicaciones de red entre zonas
- Aplicar defensa en profundidad (defense-in-depth)
Detalle
- Un usuario malintencionado podría responder a una petición PROFINET DCP con un paquete especialmente diseñado provocando una condición de denegación de servicio en el producto emisor de la petición PROFINET DCP. Es necesario que el atacante esté ubicado en el mismo segmento Ethernet (capa 2 OSI) que el dispositivo atacado. Se ha reservado el identificador CVE-2018-4843 para esta vulnerabilidad.
Listado de referencias
Etiquetas