Vulnerabilidad en un componente de terceros en múltiples dispositivos RUGGEDCOM ROS (CVE-2021-42016)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

08/03/2022

Última modificación:

12/12/2023

Descripción

Se ha identificado una vulnerabilidad en RUGGEDCOM ROS M2100 (Todas las versiones), RUGGEDCOM ROS M2200 (Todas las versiones), RUGGEDCOM ROS M969 (Todas las versiones), RUGGEDCOM ROS RMC (Todas las versiones), RUGGEDCOM ROS RMC20 (Todas las versiones), RUGGEDCOM ROS RMC30 (Todas las versiones), RUGGEDCOM ROS RMC40 (Todas las versiones), RUGGEDCOM ROS RMC41 (Todas las versiones), RUGGEDCOM ROS RMC8388 (Todas las versiones anteriores a V5. 6. 0), RUGGEDCOM ROS RP110 (Todas las versiones), RUGGEDCOM ROS RS400 (Todas las versiones), RUGGEDCOM ROS RS401 (Todas las versiones), RUGGEDCOM ROS RS416 (Todas las versiones), RUGGEDCOM ROS RS416v2 (Todas las versiones anteriores a V5.6. 0), RUGGEDCOM ROS RS8000 (Todas las versiones), RUGGEDCOM ROS RS8000A (Todas las versiones), RUGGEDCOM ROS RS8000H (Todas las versiones), RUGGEDCOM ROS RS8000T (Todas las versiones), RUGGEDCOM ROS RS900 (32M) (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RS900G (Todas las versiones), RUGGEDCOM ROS RS900G (32M) (Todas las versiones anteriores a V5.6. 0), RUGGEDCOM ROS RS900GP (Todas las versiones), RUGGEDCOM ROS RS900L (Todas las versiones), RUGGEDCOM ROS RS900W (Todas las versiones), RUGGEDCOM ROS RS910 (Todas las versiones), RUGGEDCOM ROS RS910L (Todas las versiones), RUGGEDCOM ROS RS910W (Todas las versiones), RUGGEDCOM ROS RS920L (Todas las versiones), RUGGEDCOM ROS RS920W (Todas las versiones), RUGGEDCOM ROS RS930L (Todas las versiones), RUGGEDCOM ROS RS930W (Todas las versiones), RUGGEDCOM ROS RS940G (Todas las versiones), RUGGEDCOM ROS RS969 (Todas las versiones), RUGGEDCOM ROS RSG2100 (Todas las versiones), RUGGEDCOM ROS RSG2100 (32M) (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RSG2100P (Todas las versiones), RUGGEDCOM ROS RSG2200 (Todas las versiones), RUGGEDCOM ROS RSG2288 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG2300 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG2300P (Todas las versiones anteriores a V5.6. 0), RUGGEDCOM ROS RSG2488 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG907R (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG908C (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG909R (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG910C (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RSG920P (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSL910 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RST2228 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RST2228P (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RST916C (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RST916P (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS i800 (Todas las versiones), RUGGEDCOM ROS i801 (Todas las versiones), RUGGEDCOM ROS i802 (Todas las versiones), RUGGEDCOM ROS i803 (Todas las versiones). Un ataque de sincronización, en un componente de terceros, podría hacer posible la recuperación de la clave privada, utilizada para el cifrado de datos sensibles. Si un actor de la amenaza se aprovechara de ello, la integridad y la seguridad de los datos podrían verse comprometidas

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

5.00

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:siemens:ruggedcom_ros::::::::
cpe:2.3:h:siemens:ruggedcom_i800:-:::::::*
cpe:2.3:h:siemens:ruggedcom_i801:-:::::::*
cpe:2.3:h:siemens:ruggedcom_i802:-:::::::*
cpe:2.3:h:siemens:ruggedcom_i803:-:::::::*
cpe:2.3:h:siemens:ruggedcom_m2100:-:::::::*
cpe:2.3:h:siemens:ruggedcom_m2200:-:::::::*
cpe:2.3:h:siemens:ruggedcom_m969:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rmc:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rmc20:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rmc30:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rmc40:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rmc41:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rp110:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rs400:-:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://cert-portal.siemens.com/productcert/pdf/ssa-256353.pdf

CPE	Desde	Hasta
cpe:2.3:o:siemens:ruggedcom_ros::::::::
cpe:2.3:h:siemens:ruggedcom_i800:-:::::::*
cpe:2.3:h:siemens:ruggedcom_i801:-:::::::*
cpe:2.3:h:siemens:ruggedcom_i802:-:::::::*
cpe:2.3:h:siemens:ruggedcom_i803:-:::::::*
cpe:2.3:h:siemens:ruggedcom_m2100:-:::::::*
cpe:2.3:h:siemens:ruggedcom_m2200:-:::::::*
cpe:2.3:h:siemens:ruggedcom_m969:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rmc:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rmc20:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rmc30:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rmc40:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rmc41:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rp110:-:::::::*
cpe:2.3:h:siemens:ruggedcom_rs400:-:::::::*