Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI y una actualización

Índice

  • Avisos de seguridad de Siemens de abril 2025
  • Múltiples vulnerabilidades en ConneXium Network Manager de Schneider Electric
  • [Actualización 08/04/2025] Múltiples vulnerabilidades en productos Schneider Electric

Avisos de seguridad de Siemens de abril 2025

Fecha08/04/2025
Importancia5 - Crítica
Recursos Afectados

Están afectados los siguientes productos o familias de productos:

  • Industrial Edge Devices;
  • Industrial Edge Device Kit - arm64, desde la versión 1.17 hasta 1.21;
  • Industrial Edge Device Kit - x86-64, desde la versión 1.17 hasta 1.21;
  • Mendix Runtime, versiones 8, 9, 10, 10.6, 10.12 y 10.18;
  • SENTRON 7KT PAC1260 Data Manager;
  • SIDIS Prime;
  • Siemens License Server (SLS);
  • SIDOOR ATD430W;
  • SIDOOR ATE530G COATED;
  • SIDOOR ATE530S COATED;
  • SIMATIC CFU DIQ;
  • SIMATIC CFU PA;
  • SIMATIC ET 200AL IM 157-1 PN;
  • SIMATIC ET 200M IM 153-4 PN IO;
  • SIMATIC ET 200MP IM 155-5 PN;
  • SIMATIC ET 200S IM 151-3 PN;
  • SIMATIC ET 200SP IM 155-6 MF HF;
  • SIMATIC ET 200SP IM 155-6 PN;
  • SIMATIC ET 200SP IM 155-6 PN/2;
  • SIMATIC ET 200SP IM 155-6 PN/3;
  • SIMATIC ET 200pro IM 154-3 PN;
  • SIMATIC ET 200pro IM 154-4 PN;
  • SIMATIC S7-300 CPU;
  • SIMATIC S7-400 H V6 CPU;
  • SIMATIC S7-400 PN/DP V7 CPU;
  • SIMATIC S7-410 V8 CPU;
  • SIMATIC S7-410 V10 CPU;
  • SIMATIC S7-1200 CPU;
  • SIMATIC S7-1500 CPU;
  • SIMATIC PN/PN Coupler;
  • SIMATIC Power Line Booster PLB;
  • SIMATIC TDC;
  • SIMOCODE pro V Ethernet/IP;
  • SIMOCODE pro V PROFINET;
  • SINUMERIK 840D sl;
  • SIPLUS HCS4200 CIM4210;
  • SIPLUS HCS4200 CIM4210C;
  • SIPLUS HCS4300 CIM4310;
  • SIPLUS NET PN/PN Coupler;
  • SIWAREX WP231;
  • SIWAREX WP241;
  • SIWAREX WP251;
  • SIWAREX WP521 ST;
  • SIWAREX WP522 ST;
  • Solid Edge SE2024;
  • Solid Edge SE2025;
  • Insights Hub Private Cloud.

Consultar modelos concretos y versiones afectadas en la sección de 'Referencias'.

Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 9 nuevos avisos de seguridad, recopilando un total de 35 vulnerabilidades de distintas severidades, entre ellas 7 críticas, que se describen a continuación:

  • CVE-2024-41788: en el producto SENTRON la interfaz web de sus dispositivos no depura los parámetros de entrada, input, en solicitudes GET específicas. Esto podría permitir que un atacante remoto autenticado ejecute código arbitrario con privilegios de root.
  • CVE-2024-41789: en el producto SENTRON la interfaz web de sus dispositivos no depura el parámetro de idioma en solicitudes POST específicas. Esto podría permitir que un atacante remoto autenticado ejecute código arbitrario con privilegios de root.
  • CVE-2024-41790: en el producto SENTRON la interfaz web de sus dispositivos no depura el parámetro 'region' en solicitudes POST específicas. Esto podría permitir que un atacante remoto autenticado ejecute código arbitrario con privilegios de root.
  • CVE-2024-41792: en el producto SENTRON la interfaz web de sus dispositivos presenta una vulnerabilidad de salto de ruta, path traversal. Esto podría permitir que un atacante no autenticado acceda a archivos arbitrarios en el dispositivo con privilegios de root.
  • CVE-2024-41794: en el producto SENTRON hay almacenadas en el código credenciales con privilegios de root, para el acceso remoto al sistema operativo del dispositivo. Esto podría permitir que atacantes remotos, no autenticados, obtengan acceso completo a un dispositivo si poseen estas credenciales y el servicio SSH está habilitado.
  • CVE-2024-54092: los dispositivos Industrial Edge no aplican correctamente la autenticación de usuario en endpoints API específicos cuando se utiliza la federación de identidades. Esto podría facilitar que un atacante remoto no autenticado omita la autenticación y se haga pasar por un usuario legítimo.
  • CVE-2025-1974: se descubrió un problema de seguridad en Kubernetes donde, bajo ciertas condiciones, un atacante, no autenticado, con acceso a la red de 'pods' puede lograr la ejecución de código arbitrario en el contexto del controlador ingress-nginx. Esto puede llevar a la divulgación de información sensible accesible al controlador.

Se recomienda consultar las referencias para tener más detalle de las vulnerabilidades y a los productos que afectan cada una de ellas.

Múltiples vulnerabilidades en ConneXium Network Manager de Schneider Electric

Fecha08/04/2025
Importancia4 - Alta
Recursos Afectados
  • ConneXium Network Manager, todas las versiones.
Descripción

Se han detectado 2 vulnerabilidades de severidad alta en ConneXium Network Manager que, en caso de ser explotadas, podrían facilitar la divulgación de información confidencial, la escalada de privilegios mediante ataques man-in-the-middle, la realización de denegaciones de servicio (DoS) o la ejecución remota de código (RCE) en sus estaciones de trabajo.

Solución

ConneXium Network Manager ha alcanzado el final de su vida útil (EoL) y el fabricante ya no ofrece actualizaciones; sin embargo, recomienda seguir las siguientes instrucciones como medida de mitigación, en función de la vulnerabilidad afectada:

  • CVE-2025-2222, solo afecta a la versión V2.0.01 del producto:
  • CVE-2025-2223, afecta a todas las versiones del producto:
    • Solo abrir archivos de proyecto de una fuente de confianza.
    • Calcular el hash de los archivos de proyecto y verificar periódicamente y antes de usar el archivo que el hash no ha cambiado.
    • Encriptar el archivo de proyecto cuando vaya a ser almacenado y limitar el acceso para que únicamente puedan acceder usuarios de confianza.
    • Utilizar protocolos de comunicación seguros cuando se intercambien ficheros en la red.
    • Seguir las indicaciones de securización de estaciones de trabajo, redes e instalaciones de la Guía de Prácticas recomendadas de ciberseguridad (Recommended Cybersecurity Best Practices) del fabricante.
Detalle

Las vulnerabilidades se describen a continuación:

  • CVE-2025-2222, ficheros o directorios accesibles a terceras partes en HTTPS podría permitir una fuga de información y, potencialmente, una escalada de privilegios en un ataque man-in-the-middle.
  • CVE-2025-2223, validación inadecuada de la entrada que puede provocar una pérdida de confidencialidad, integridad y disponibilidad de las estaciones de trabajo cuando un usuario carga un archivo de proyecto malicioso en el sistema local.

[Actualización 08/04/2025] Múltiples vulnerabilidades en productos Schneider Electric

Fecha15/01/2025
Importancia4 - Alta
Recursos Afectados
  • Todas las versiones de los productos:
    • Web Designer para:
      • BMXNOR0200H,
      • BMXNOE0110(H),
      • BMENOC0311(C),
      • BMENOC0321(C).
    • Procesadores Modicon M340;
    • BMXNOE0100;
    • BMXNOE0110;
    • RemoteConnect and SCADAPackTM x70 Utilities.
  • Modicon M580 CPU (referencias BMEP* y BMEH*, excluida M580 CPU Safety), versiones anteriores a SV4.30.
  • Modicon M580 CPU Safety (números de referencia BMEP58*S y BMEH58*S), versiones anteriores a SV4.21.
  • EVLink Pro AC, versiones anteriores a 1.3.10.
  • BMXNOR0200H, versiones anteriores a SV1.70IR26.
  • PowerLogic™ HDPM6000:
    • versión 0.62.7 afectada por CVE-2024-10497;
    • versiones 0.62.7 y anteriores afectadas por CVE-2024-10498.
Descripción

Schneider Electric ha publicado información sobre 6 vulnerabilidades, 5 de severidad alta y 1 media, que afecta a múltiples productos y cuya explotación podría permitir a un atacante realizar una denegación de servicio (DoS), divulgar información, ejecutar código remoto (RCE), causar indisponibilidad de controladores/módulos, pérdida de confidencialidad y escalar privilegios, 

Solución

Actualizar los productos afectados a las siguientes versiones correctoras:

  • Modicon M580 CPU SV4.30.
  • Modicon M580 CPU Safety SV4.21.
  • EVLink Pro AC 1.3.10.
  • BMXNOR0200H SV1.70IR26.
  • PowerLogic™ HDPM6000 0.62.11 y posteriores.

Para los productos Web Designer y RemoteConnect SCADAPack™ x70 Utilities, aplicar las medidas de mitigación descritas por el fabricante incluidas en la sección Mitigations de sus avisos enlazados en las referencias.

Detalle

Las vulnerabilidades de severidad alta se describen a continuación:

  • Vulnerabilidad de cálculo incorrecto del tamaño del búfer que podría causar una denegación de servicio del producto cuando un usuario no autenticado envía un paquete HTTPS manipulado al servidor web. Se ha asignado el identificador CVE-2024-11425 para esta vulnerabilidad.
  • Vulnerabilidad de restricción inadecuada de referencia de entidad externa XML (XXE) que podría causar la divulgación de información, afectar a la integridad de la estación de trabajo y la posible ejecución remota de código en el equipo afectado, cuando se importa un archivo XML específico en la herramienta de configuración Web Designer. Se ha asignado el identificador CVE-2024-12476 para esta vulnerabilidad.
  • Vulnerabilidad que podría causar divulgación de información de la página web restringida, modificación de la página web y denegación de servicio cuando se modifican páginas web específicas y se invocan funciones restringidas. Se ha asignado el identificador CVE-2024-12142 para esta vulnerabilidad.
  • Vulnerabilidad de deserialización de datos no confiables que podría conducir a la pérdida de confidencialidad, integridad y potencial ejecución remota de código en la estación de trabajo cuando un usuario autenticado no administrador abre un archivo de proyecto malicioso. Se ha asignado el identificador CVE-2024-12703 para esta vulnerabilidad.
  • Vulnerabilidad de anulación de autorización a través de clave controlada que podría permitir a un atacante autorizado escalar privilegios mediante el envío de peticiones HTTPS maliciosas al dispositivo. Se ha asignado el identificador CVE-2024-10497 para esta vulnerabilidad.

La vulnerabilidad de severidad media tiene asignada el identificador CVE-2024-10498.