Se ha reportado un nuevo aviso de seguridad sobre 7 (siete) vulnerabilidades que afectan a múltiples productos de Siemens, que permitirían a un atacante realizar ejecución remota de código (RCE), denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen 1 (uno) de severidad “Crítica”, 3 (tres) de severidad “Alta” y 3 (tres) de severidad “Media”. Los principales se detallan a continuación:
- CVE-2022-36323, de severidad “crítica”, y puntuación asignada de 9.1. Esta vulnerabilidad se debe a la validación incorrecta de un campo de entrada. Esto permitiría a un atacante con permisos de administrador realizar inyección de código o generar un shell de root del sistema afectado.
- CVE-2022-36324, de severidad “alta”, y puntuación asignada de 7.5. Esta vulnerabilidad se debe a un error en los parámetros SSL/TLS. Esto permitiría a un atacante remoto no autenticado eludir la seguridad y provocar denegación de servicios (DoS).
- CVE-2022-34660, de severidad “alta”, y puntuación asignada de 7.6. Esta vulnerabilidad se debe a un error en el servidor de archivos en Teamcenter. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
Puede acceder a la lista completa de vulnerabilidades en los siguientes enlaces:
- https://cert-portal.siemens.com/productcert/html/ssa-759952.html
- https://cert-portal.siemens.com/productcert/html/ssa-710008.html
- https://cert-portal.siemens.com/productcert/html/ssa-555707.html
Algunos productos afectados de Siemens son:
- Simcenter STAR-CCM+, todas las versiones que utilicen el servidor público de licencias ‘Power-on-Demand’.
- SCALANCE M-800 / S615, todas las versiones.
- SCALANCE SC-600 family, todas las versiones anteriores a v2.3.
- CP-8022 MASTER MODULE WITH GPRS (6MF2802-2AA00), todas las versiones.
- Teamcenter V12.4, todas las versiones anteriores a la V12.4.0.15.
Puede acceder a la lista completa de productos afectados aquí.
Recomendamos instalar las actualizaciones proporcionado por Siemens en el siguiente enlace:
https://support.industry.siemens.com/cs/start?lc=en-GR
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-sci/avisos-seguridad-siemens-agosto-2022
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36323
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36324
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34660
- https://cert-portal.siemens.com/productcert/html/ssa-759952.html
- https://cert-portal.siemens.com/productcert/html/ssa-710008.html
- https://cert-portal.siemens.om/productcert/html/ssa-555707.html
- https://support.industry.siemens.com/cs/start?lc=en-GR