Inicio / Alerta Temprana / Avisos Sci / Avisos de seguridad de Siemens de mayo de 2021

Avisos de seguridad de Siemens de mayo de 2021

Fecha de publicación: 
11/05/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • familia de productos SCALANCE XM-400, versiones anteriores a 6.4;
  • familia de productos SCALANCE XR-500, versiones anteriores a 6.4;
  • SINAMICS GH150, todas las versiones;
  • SINAMICS GL150 (con la opción X30), todas las versiones;
  • SINAMICS GM150 (con la opción X30), todas las versiones;
  • SINAMICS SH150, todas las versiones;
  • SINAMICS SL150, todas las versiones;
  • SINAMICS SM120, todas las versiones;
  • SINAMICS SM150, todas las versiones;
  • SINAMICS SM150i, todas las versiones;
  • RUGGEDCOM RM1224, versiones 5.0 y superiores, pero anteriores a 6.4;
  • SCALANCE M-800, versiones 5.0 y superiores, pero anteriores a 6.4;
  • SCALANCE S615, versiones 5.0 y superiores, pero anteriores a 6.4;
  • SCALANCE SC-600, versiones anteriores a 2.1.3;
  • SIMATIC Cloud Connect 7, todas las versiones;
  • familia de productos SIMATIC MV500, todas las versiones;
  • SIMATIC NET CP 1243-1 (incluyendo variantes SIPLUS), versión 3.1.39 y superiores;
  • SIMATIC NET CP 1243-7 LTE EU, versión 3.1.39 y superiores;
  • SIMATIC NET CP 1243-7 LTE US, versión 3.1.39 y superiores;
  • SIMATIC NET CP 1243-7, versión 3.1.39 y superiores;
  • SIMATIC NET CP 1243-8 IRC, versión 3.1.39 y superiores;
  • SIMATIC NET CP 1542SP-1 IRC (incluyendo variantes SIPLUS), versión 2.0 y superiores;
  • SIMATIC NET CP 1542SP-1, versión 2.0 y superiores;
  • SIMATIC NET CP 1543-1 (incluyendo variantes SIPLUS), versión 2.0 y superiores;
  • SIMATIC NET CP 1543SP-1 (incluyendo variantes SIPLUS), versión 2.0 y superiores;
  • SIMATIC NET CP 1545-1, todas las versiones;
  • SINEMA Remote Connect Server, versiones anteriores a 3.0 SP1;
  • TIM 1531 IRC (incluyendo variantes SIPLUS), todas las versiones;
  • SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (MLFB: 6ES7518-4AX00-1AC0, 6AG1518-4AX00-4AC0, incluyendo variantes SIPLUS), todas las versiones;
  • SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (MLFB: 6ES7518-4FX00-1AC0), todas las versiones;
  • SIMATIC HMI Comfort Outdoor Panels 7" & 15" (incluyendo variantes SIPLUS), versiones anteriores a 16 Update 4;
  • SIMATIC HMI Comfort Panels 4" - 22" (incluyendo variantes SIPLUS), versiones anteriores a 16 Update 4;
  • SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 y KTP900F, versiones anteriores a 16 Update 4;
  • SIMATIC WinCC Runtime Advanced, versiones anteriores a 16 Update 4;
  • SIMATIC HMI Comfort Panels 1st Generation (incluyendo variantes SIPLUS), versiones anteriores a 16 Update 4;
  • SIMATIC HMI KTP Mobile Panels, versiones anteriores a 16 Update 4;
  • SIMATIC NET CP 343-1 Advanced (incluyendo variantes SIPLUS), todas las versiones;
  • SIMATIC NET CP 343-1 Lean (incluyendo variantes SIPLUS), todas las versiones;
  • SIMATIC NET CP 343-1 Standard (incluyendo variantes SIPLUS), todas las versiones;
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incluyendo variantes SIPLUS), todas las versiones (solo afectado por CVE-2020-8745);
  • SIMATIC Field PG M5, versiones de BIOS anteriores a 22.01.08 (solo afectado por CVE-2020-8745, CVE-2020-
  • 8694 y CVE-2020-8698);
  • SIMATIC Field PG M6, todas las versiones (solo afectado por CVE-2020-0590, CVE-2020-8745, CVE-2020-8694 y CVE-2020-8698);
  • SIMATIC IPC127E, todas las versiones (solo afectado por CVE-2020-8745);
  • SIMATIC IPC427E (incluyendo variantes SIPLUS), todas las versiones (solo afectado por CVE-2020-8745, CVE-2020-8694 y CVE-2020-8698);
  • SIMATIC IPC477E Pro, todas las versiones (solo afectado por CVE-2020-8745, CVE-2020-8694 y CVE-2020-8698);
  • SIMATIC IPC477E, todas las versiones (solo afectado por CVE-2020-8745, CVE-2020-8694 y CVE-2020-8698);
  • SIMATIC IPC527G, todas las versiones (solo afectado por CVE-2020-8745, CVE-2020-8694 y CVE-2020-8698);
  • SIMATIC IPC547G, todas las versiones (solo afectado por CVE-2020-0590 y CVE-2020-8694);
  • SIMATIC IPC627E, versiones de BIOS anteriores a 25.02.08 (solo afectado por CVE-2020-0590, CVE-2020-
  • 8745, CVE-2020-8694 y CVE-2020-8698);
  • SIMATIC IPC647E, versiones de BIOS anteriores a 25.02.08 (solo afectado por CVE-2020-0590, CVE-2020-
  • 8745, CVE-2020-8694 y CVE-2020-8698);
  • SIMATIC IPC677E, versiones de BIOS anteriores a 25.02.08 (solo afectado por CVE-2020-0590, CVE-2020-
  • 8745, CVE-2020-8694 y CVE-2020-8698);
  • SIMATIC IPC847E, versiones de BIOS anteriores a 25.02.08 (solo afectado por CVE-2020-0590, CVE-2020-
  • 8745, CVE-2020-8694 y CVE-2020-8698);
  • SIMATIC ITP1000, versiones de BIOS anteriores a 23.01.08 (solo afectado por CVE-2020-8745, CVE-2020-
  • 8694 y CVE-2020-8698);
  • SINUMERIK 828D HW PPU.4, todas las versiones (solo afectado por CVE-2020-8745);
  • SINUMERIK MC MCU 1720, todas las versiones (solo afectado por CVE-2020-8745);
  • SINUMERIK ONE / SINUMERIK 840D sl Handheld Terminal HT 10, todas las versiones (solo afectado por CVE-2020-8745);
  • SINUMERIK ONE PPU 1740, todas las versiones (solo afectado por CVE-2020-8745);
  • SCALANCE W1750D, versiones anteriores a 8.7.0;
  • Mendix Excel Importer Module, versiones anteriores a 9.0.3;
  • Mendix Database Replication, versiones anteriores a 7.0.1;
  • Tecnomatix Plant Simulation, versiones anteriores a 16.0.5.
Descripción: 

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución: 

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle: 

Siemens, en su comunicación mensual de parches de seguridad, ha emitido un total de 22 avisos de seguridad, de los cuales 7 son actualizaciones.

Los tipos de nuevas vulnerabilidades publicadas se corresponden con los siguientes:

  • denegación de servicio (DoS),
  • validación de entrada incorrecta,
  • uso de valores insuficientemente aleatorios,
  • escritura fuera de límites,
  • escalada de privilegios,
  • ejecución de código,
  • divulgación de información,
  • omisión de autenticación,
  • desbordamiento de búfer,
  • inyección de comandos,
  • lectura fuera de límites.

Para estas vulnerabilidades se han asignado los siguientes identificadores: CVE-2020-28393, CVE-2021-27388, CVE-2020-25705, CVE-2020-8744, CVE-2020-0591, CVE-2021-25660, CVE-2021-25661, CVE-2021-25662, CVE-2021-27383, CVE-2021-27384, CVE-2021-27385, CVE-2021-27386, CVE-2019-19276, CVE-2020-25242, CVE-2020-8698, CVE-2020-8745, CVE-2020-8694, CVE-2020-0590, CVE-2019-5317, CVE-2019-5319, CVE-2020-24635, CVE-2020-24636, CVE-2021-25143, CVE-2021-25144, CVE-2021-25145, CVE-2021-25146, CVE-2021-25148, CVE-2021-25149, CVE-2021-25150, CVE-2021-25155, CVE-2021-25156, CVE-2021-25157, CVE-2021-25158, CVE-2021-25159, CVE-2021-25160, CVE-2021-25161, CVE-2021-25162, CVE-2021-31337, CVE-2021-31339, CVE-2021-31341, CVE-2019-8259, CVE-2019-8260, CVE-2019-8261, CVE-2019-8262, CVE-2019-8263, CVE-2019-8264, CVE-2019-8265, CVE-2019-8275, CVE-2019-8277, CVE-2019-8280, CVE-2021-27396, CVE-2021-27397 y CVE-2021-27398.

Encuesta valoración