Cabecera-v2-web.jpg

Vulnerabilidades en productos Siemens


15/06/2022

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a productos Siemens, que permitirían a un atacante realizar ejecución remota de código (RCE), denegación de servicios (DoS), entre otros.


Las vulnerabilidades reportadas se componen de 2 (Dos) de severidad “Crítica”, las misma se detallan a continuación:

  • CVE-2021-39275 de severidad crítica, con una puntuación asignada de 9.8. Esta vulnerabilidad existe debido a un error de límite dentro de la función ap_escape_quotes(). Un atacante remoto realizar aprovechar esta vulnerabilidad para enviar una solicitud especialmente diseñada al servidor web provocando la ejecución remota de código (RCE) en el sistema destino o denegación de servicio (DoS).
  • CVE-2021-40438 de severidad crítica, con una puntuación asignada de 9.0. Esta se debe a un error de validación insuficiente de entrada proporcionada en el módulo mod_proxy en Apache HTTP Server. Un atacante remoto podría aprovechar esta vulnerabilidad para realizar ataques SSRF enviando una solicitud HTTP especialmente diseñada para engañar al servidor web y obtener acceso a datos confidenciales.

Los productos afectados son:

  • Servidor SINEMA, versión 14.
  • SINEC NMS, todas las versiones.

Recomendamos instalar las actualizaciones correspondientes que serán provistas por Siemens en el siguiente enlace:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11