Aviso de seguridad de mayo de 2022 en Siemens. 

Siemens ha publicado actualizaciones para corregir fallos de seguridad que afectan a sus productos, que permitirían a los atacantes ejecutar ataques de denegación de servicio y/o realizar ejecución remota de código (RCE).

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”, 5 (cinco) de severidad “Alta” y 5 (cinco) de severidad “Media”. Las principales se detallan a continuación: 

  • CVE-2022-29873 de severidad crítica, con puntuación de 9.8. Esta vulnerabilidad se debe a la falta de validación correcta de los parámetros de ciertas peticiones GET y POST. Un atacante no autenticado podría aprovechar esta vulnerabilidad para ejecutar un ataque de denegación de servicio (DoS) o realizar ejecución de código remoto (RCE) en el dispositivo.  
  • CVE-2022-24039 de severidad crítica, con puntuación de 9.0. Esta vulnerabilidad se debe a un error en la función JavaScript «addCell» que no controla correctamente el input antes de incluirla en el cuerpo XML generado del documento XLS. Un atacante con mínimos privilegios podría explotar esta vulnerabilidad para inyectar código malicioso en el contenido utilizado y generar informes XLS con el fin de obtener la ejecución remota de código (RCE). 

Se puede acceder al listado completo de las vulnerabilidades aquí

Los principales productos afectados de Siemens son: 

  • Simcenter Femap, versiones anteriores a 2022.2. 
  • Distintas versiones de los modelos SICAM P850 y P855 listados en SSA-165073. 
  • SIMATIC NET PC Software: 
  • 14: versiones anteriores a 14 SP1. 
  • 15: todas las versiones. 
  • 16: todas las versiones. 
  • 17: versiones anteriores a 17 SP1. 
  • SITOP Manager, todas las versiones. 

Se puede acceder al listado completo de los productos afectados aquí

Recomendamos seguir las siguientes instrucciones para mitigar el riesgo asociado:   

  • Siemens recomienda proteger el acceso a la red a los dispositivos con los mecanismos adecuados. Para operar los dispositivos en un entorno de TI protegido, configurar el entorno de acuerdo con las directrices operativas de Siemens para la seguridad industrial

Adicionalmente, recomendamos instalar las actualizaciones correspondientes que serán provistas por Siemens en el siguiente enlace: 

Referencias: 

Compartir: