Fecha de publicación: 08/11/2022
Importancia:
Crítica
Recursos afectados:
- Parasolid, versiones:
- anteriores a 34.0.252;
- anteriores a 34.1.242;
- anteriores a 35.0.170;
- solo afectados por CVE-2022-39157:
- desde 34.0.252 hasta la anterior a 34.0.254;
- desde 34.1.242 hasta la anterior a 34.1.244;
- desde 35.0.170 hasta la anterior a 35.0.184.
- Distintos modelos y versiones del producto RUGGEDCOM ROS listados en SSA-787941.
- Todas las versiones de:
- QMS Automotive,
- SINUMERIK MC,
- SINUMERIK ONE,
- SCALANCE W1750D:
- 6GK5750-2HX01-1AD0;
- 6GK5750-2HX01-1AA0;
- 6GK5750-2HX01-1AB0.
- POWER METER SICAM Q100 (7KG9501-0AA01-2AA1 y 7KG9501-0AA31-2AA1), versiones anteriores a 2.50.
- Distintos modelos y versiones de los productos SIMATIC y SIPLUS listados en SSA-478960.
- SINEC NMS, versiones anteriores a 1.0.3.
- JT2Go, versiones anteriores a 14.1.0.4.
- Teamcenter Visualization, versiones anteriores a:
- 13.3.0.7 (esta versión y superiores solo están afectadas por CVE-2022-39136);
- 14.0.0.3;
- 14.1.0.4.
Descripción:
Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.
Solución:
Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de ‘Referencias’.
Detalle:
Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 9 nuevos avisos de seguridad, recopilando un total de 30 vulnerabilidades, siendo 11 de severidad crítica, 12 altas y 7 medias.
La explotación de las vulnerabilidades de severidad crítica podrían permitir las siguientes acciones:
- detener el dispositivo o ejecutar código arbitrario (CVE-2022-43439, CVE-2022-43545 y CVE-2022-43546);
- extraer información confidencial de configuraciones o realizar ataques contra comunicaciones legacy PG/PC y HMI (CVE-2022-38465);
- ejecutar código de forma remota o comandos arbitrarios (CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888, CVE-2022-37889, CVE-2022-37890 y CVE-2022-37891).
El listado completo de identificadores CVE puede consultarse en las referencias.
Etiquetas:
0day, Actualización, Comunicaciones, Infraestructuras críticas, IoT, Privacidad, SCADA, Siemens, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.