Avisos de seguridad de Siemens de mayo de 2023

Fecha de publicación 09/05/2023
Importancia
5 - Crítica
Recursos Afectados
  • SCALANCE LPE9403 (6GK5998-3GS00-2AC2), versiones anteriores a 2.1.
  • Todas las versiones de:
    • SCALANCE W1750D (JP) (6GK5750-2HX01- 1AD0);
    • SCALANCE W1750D (ROW) (6GK5750-2HX01- 1AA0);
    • SCALANCE W1750D (USA) (6GK5750-2HX01- 1AB0).
  • SIMATIC Cloud Connect 7, modelos:
    • CC712:
      • 6GK1411-1AC00: versiones desde 2.0 hasta las anteriores a 2.1;
      • 6GK1411-1AC00: versiones anteriores a 2.1 (únicamente afectadas por las vulnerabilidades CVE-2023-29103 y CVE-2023-29105).
    • CC716:
      • 6GK1411-5AC00: versiones desde 2.0 hasta las anteriores a 2.1;
      • 6GK1411-5AC00: versiones anteriores a 2.1 (únicamente afectadas por las vulnerabilidades CVE-2023-29103 y CVE-2023-29105).
  • Distintas versiones y modelos del producto Siveillance Video detallados en SSA-789345.
  • SINEC NMS, versiones anteriores a 1.0.3.1.
  • Solid Edge SE2023, versiones anteriores a:
    • 223.0 Update 2;
    • 223.0 Update 3 (únicamente afectadas por las vulnerabilidades CVE-2023-30985 y CVE-2023- 30986).
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 6 nuevos avisos de seguridad, recopilando un total de 26 vulnerabilidades de distintas severidades.

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

  • inyección de comandos (CVE-2023-27407);
  • ejecución de código (CVE-2023-30898 y CVE-2023-30899);
  • uso de memoria después de ser liberada (CVE-2022-40674);
  • transmisión de información sensible en texto claro (CVE-2022-42916).

El listado completo de identificadores CVE puede consultarse en las referencias.

 

Listado de referencias
SSA-325383: Multiple Vulnerabilities in SCALANCE LPE9403 before V2.1
SSA-516174: Wi-Fi Encryption Bypass Vulnerabilities in SCALANCE W1750D
SSA-555292: Security Vulnerabilities Fixed in SIMATIC Cloud Connect 7 V2.1
SSA-789345: Code Execution Vulnerabilities in Siveillance Video Event and Management Servers
SSA-892048: Third-Party Component Vulnerabilities in SINEC NMS before V1.0.3.1
SSA-932528: Multiple File Parsing Vulnerabilities in Solid Edge
ICSA-23-131-01 - Siemens Solid Edge
ICSA-23-131-02 - Siemens SCALANCE W1750D
ICSA-23-131-03 - Siemens Siveillance Video Event and Management Servers
ICSA-23-131-04 - Siemens SIMATIC Cloud Connect 7
ICSA-23-131-05 - Siemens SINEC NMS Third-Party
ICSA-23-131-06 - Siemens SCALANCE LPE9403
Etiquetas