Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades en implementación OpenSSL de productos Siemens

Vulnerabilidades en implementación OpenSSL de productos Siemens

Fecha de publicación: 
21/07/2014
Importancia: 
4 - Alta
Recursos afectados: 

Los productos afectados son:

  • APE versiones anteriores a Version 2.0.2
  • CP1543-1: todas las versiones
  • ROX 1: todas las versiones (solo afectado si Crossbow está instalado),
  • ROX 2: all versions (solo afectado si ELAN o Crossbow está instalado),
  • S7-1500: todas las versiones
  • WinCC OA (PVSS): Versiones 3.8 – 3.12
Descripción: 

Siemens ha identificado cuatro vulnerabilidades en su librería criptográfica de OpenSSL que afecta a varios de sus productos SCADA. Estas vulnerabilidades son exportables remotamente.

Solución: 

Siemens ha publicado las actualizaciones:

Los productos ROX 1, ROX 2, S7-1500, y CP1543-1 aún no tienen parche disponible. Siemens ha publicado medidas de mitigación que pueden consultarse en el siguiente documento:

http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-234763.pdf

Siemens trabaja en generar las actualizaciones pendientes.

Detalle: 

Las vulnerabilidades de la implementación OpenSSL posibilitan un ataque Man-in-the-Middle y permitirían a un atacante secuestrar una sesión entre el dispositivo y un usuario autorizado. La explotación de estas vulnerabilidades afectan también a la disponibilidad del servicio, pudiendo causar caída del servidor Web del producto.

Las vulnerabilidades tienen los CVEs CVE-2014-0224 para la vulnerabilidad man-in-the-middle y CVE-2014-0198, CVE-2010-529, CVE-2014-347 para las vulnerabilidades derivadas de una impropia validación de entrada.