Inicio / Alerta Temprana / Avisos Sci / Entropía limitada en módulos web Desigo PX de Siemens

Entropía limitada en módulos web Desigo PX de Siemens

Fecha de publicación: 
16/12/2016
Importancia: 
3 - Media
Recursos afectados: 
  • Módulos Web Desigo PX PXA40-W0, PXA40-W1, PXA40-W2 para los controladores automatizados Desigo PX PXC00-E.D, PXC50-E.D, PXC100-E.D, PXC200-E.D: Todas las versiones de firmware anteriores a la V6.00.046
  • Módulos Web Desigo PX PXA30-W0, PXA30-W1, PXA30-W2 para los controladores automatizados Desigo PX PXC00-U, PXC64-U, PXC128-U: Todas las versiones de firmware anteriores a la V6.00.046
Descripción: 

Marcella Hastings, Joshua Fried and Nadia Heninger de la universidad de Pennsylvania han detectado una vulnerabilidad que afecta a las estaciones y unidades de operador Desigo PX destinadas al control y monitorización de sistemas de automatización de edificios.

Solución: 

Siemens ha desarrollado la versión de firmware V6.00.046 para los dispositivos afectados que mitiga esta vulnerabilidad.

Antes de aplicar los parches, Siemens recomienda revisar los siguientes puntos:

  • Proteger los accesos a la red.
  • Aplicar el concepto de defensa en profundidad.
  • Restringir el acceso 443/tcp en módulos Desigo PX-Web.
  • Deshabilitar el servidor web
Detalle: 

Los productos afectados utilizan un generador de números pseudo aleatorios (PRNG) con entropía insuficiente para generar certificados HTTPS. Este hecho permitiría a un potencial  atacante remoto la reconstrucción de la clave privada correspondiente. Se ha reservado el identificador CVE-2016-9154 para esta vulnerabilidad.