Vulnerabilidad en productos SIMATIC (CVE-2018-13805)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
10/10/2018
Última modificación:
21/03/2019
Descripción
Se ha identificado una vulnerabilidad en SIMATIC ET 200SP Open Controller (todas las versiones desde la V2.0 y antes de la V2.1.6), SIMATIC S7-1500 Software Controller (todas las versiones desde la V2.0 y antes de la V2.5) y SIMATIC S7-1500 incl. F (todas las versiones desde la V2.0 y antes de la V2.5). Un atacante puede provocar una condición de denegación de servicio (DoS) en la pila de red mediante el envío de un gran número de paquetes especialmente manipulados al PLC. El PLC perderá su capacidad de comunicarse a través de la red. Esta vulnerabilidad podría ser explotada por atacantes con acceso de red a los sistemas afectados. Su explotación con éxito no requiere privilegios de usuario ni interacción. Un atacante podría usar la vulnerabilidad para comprometer la disponibilidad de la conectividad de red. En el momento de la publicación del advisory, no se conoce ninguna explotación pública de la vulnerabilidad.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:siemens:simatic_et_200sp_firmware:*:*:*:*:*:*:*:* | 2.0 (incluyendo) | |
| cpe:2.3:h:siemens:simatic_et_200sp:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:siemens:simatic_s7-1500_firmware:*:*:*:*:*:*:*:* | 2.0 (incluyendo) | 2.5 (excluyendo) |
| cpe:2.3:h:siemens:simatic_s7-1500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:siemens:simatic_s7-1500f_firmware:*:*:*:*:*:*:*:* | 2.0 (incluyendo) | 2.5 (excluyendo) |
| cpe:2.3:h:siemens:simatic_s7-1500f:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página