Vulnerabilidad en una interfaz en el software en diversas aplicaciones SIMATIC Process Historian (CVE-2021-27395)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

12/10/2021

Última modificación:

19/10/2021

Descripción

Se ha identificado una vulnerabilidad en SIMATIC Process Historian 2013 y anteriores (Todas las versiones), SIMATIC Process Historian 2014 (Todas las versiones anteriores a SP3 Update 6), SIMATIC Process Historian 2019 (Todas las versiones), SIMATIC Process Historian 2020 (Todas las versiones). Una interfaz en el software que es usada para funcionalidades críticas carece de autenticación, lo que podría permitir a un usuario malicioso insertar, modificar o eliminar datos de forma maliciosa

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0

5.50

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:siemens:simatic_process_historian_2013::::::::
cpe:2.3:a:siemens:simatic_process_historian_2014:-:sp1::::::
cpe:2.3:a:siemens:simatic_process_historian_2014:-:sp2::::::
cpe:2.3:a:siemens:simatic_process_historian_2014:-:sp3::::::
cpe:2.3:a:siemens:simatic_process_historian_2014:-:sp3_update4::::::
cpe:2.3:a:siemens:simatic_process_historian_2019::::::::
cpe:2.3:a:siemens:simatic_process_historian_2020::::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://cert-portal.siemens.com/productcert/pdf/ssa-766247.pdf

CPE	Desde	Hasta
cpe:2.3:a:siemens:simatic_process_historian_2013::::::::
cpe:2.3:a:siemens:simatic_process_historian_2014:-:sp1::::::
cpe:2.3:a:siemens:simatic_process_historian_2014:-:sp2::::::
cpe:2.3:a:siemens:simatic_process_historian_2014:-:sp3::::::
cpe:2.3:a:siemens:simatic_process_historian_2014:-:sp3_update4::::::
cpe:2.3:a:siemens:simatic_process_historian_2019::::::::
cpe:2.3:a:siemens:simatic_process_historian_2020::::::::