Actualizaciones de seguridad para Siemens

Se ha lanzado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos Siemens, que permitirían a un atacante realizar inyección de comandos, ataques cross-site scripting (XSS), ejecución remota de código (RCE), entre otros. 

Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Crítica”, 9 (nueve) de severidad “Alta” y 6 (seis) de severidad “Media”. Las principales se detallan a continuación: 

• CVE-2022-45092, de severidad “crítica” y con puntuación asignada de 9.9. Esta vulnerabilidad se debe a una falla de seguridad en la herramienta de software SINEC INS (Infrastructure Network Services). Un atacante remoto autenticado con acceso a la administración web (puerto 443/tcp) podría leer y escribir archivos arbitrarios, y así realizar ejecución remota de código (RCE) en el sistema afectado. 

• CVE-2022-46823, de severidad “crítica” y con puntuación asignada de 9.3. Esta vulnerabilidad se debe a falla de validación de entradas en el módulo SAML de Mendix. Esto permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) para obtener información confidencial, engañando a las víctimas a través de un enlace malicioso especialmente diseñado. 

• CVE-2022-47967, de severidad “alta” y con puntuación asignada de 7.8. Esta vulnerabilidad se debe a falla de seguridad en el procesamiento de archivos en Solid Edge. Un atacante podría provocar corrupción de memoria y así realizar ejecución de código a través del procesamiento de archivos maliciosos en diferentes formatos, como PAR, ASM, DFT. 

Para visualizar la lista detallada de las vulnerabilidades, ingresar al siguiente enlace. 

Las versiones afectadas son:  

• Solid Mendix SAML (Mendix 8 compatible), versiones a partir de 2.3.0 y anteriores a V2.3.4 

• Mendix SAML (Mendix 9 compatible, New Track), versiones a partir de 3.3.0 y anteriores a V3.3.9 
• Mendix SAML (Mendix 9 compatible, Upgrade Track), versiones a partir de 3.3.0 y anteriores a V3.3.8 
• SINEC INS, todas las versiones previas a V1.0 SP2 Actualización 1. 

Puede acceder al listado completo de productos afectados aquí 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía: 

• https://support.industry.siemens.com/cs/start?lc=en-GR 

Referencias: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1469/ 
• https://nvd.nist.gov/vuln/detail/CVE-2022-45092 
• https://nvd.nist.gov/vuln/detail/CVE-2022-46823 
• https://nvd.nist.gov/vuln/detail/CVE-2022-47967 
• https://support.industry.siemens.com/cs/start?lc=en-GR