Inicio / Alerta Temprana / Avisos Sci / Autenticación inadecuada en SIMATIC CP 44x-1 RNA de Siemens

Autenticación inadecuada en SIMATIC CP 44x-1 RNA de Siemens

Fecha de publicación: 
21/06/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • SIMATIC CP 44x-1 RNA, todas las versiones anteriores a la V1.4.1
Descripción: 

Siemens ha informado de una vulnerabilidad que afecta a la autenticación de los módulos SIMATIC CP 44x-1 RNA diseñados para funcionar con los equipos SIMATIC S7-400. Un potencial atacante remoto podría llevar a cabo acciones administrativas bajo determinadas condiciones sin estar autenticado.

Solución: 

Siemens ha publicado la versión de firmware V1.4.1 para los recursos afectados que soluciona esta vulnerabilidad, y recomienda a todos los usuarios actualizar a dicha versión.

Hasta que el parche sea aplicado, Siemens recomienda las siguientes medidas de mitigación:

  • Aplicar el concepto de protección de celda.
  • Usar VPN para proteger la comunicación de red entre celdas.
  • Aplicar defensa en profundidad.
Detalle: 

Un potencial atacante remoto no autenticado podría llevar a cabo acciones administrativas en los recursos afectados si el acceso por red está disponible (puerto 102/TCP abierto), y la configuración del recurso afectado está almacenada en la correspondiente CPU. Se ha reservado el identificador CVE-2017-6868 para esta vulnerabilidad.