Inicio / Content / Boletín de INCIBE-CERT del 08-03-2022

Boletín de INCIBE-CERT del 08-03-2022

Avisos de seguridad de Siemens de marzo de 2022

Fecha de publicación: 
08/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • Climatix POL909:
    • AWB module: versiones < V11.44;
    • AWM module: versiones < V11.36.
  • COMOS: versiones < V10.4;
  • Mendix Applications:
    • Mendix 7: versiones < V7.23.29;
    • Mendix 8: versiones < V8.18.16;
    • Mendix 9: todas las versiones.
  • Mendix módulo forgot password en la Appstore:
    • Todas las versiones >= V3.3.0 < V3.5.1;
    • Mendix 7 compatible: todas las versiones < V3.2.2 solo afectadas por CVE-2022-26314.
  • Polarion Subversion Webclient: V21 R1;
  • RUGGEDCOM, los dispositivos y componentes de terceros de los distintos modelos y versiones listados en SSA-256353, SSA-406691, SSA-594438 y SSA-764417;
  • Simcenter STAR-CCM+ Viewer: versiones < V2022.1;
  • SIMOTICS CONNECT 400:
    • Todas las versiones < V0.5.0.0;
    • Todas las versiones < V1.0.0.0 solo afectadas por CVE-2021-31344, CVE-2021- 31346 y CVE-2021-31890.
  • SINEC NMS: todas las versiones;
  • SINUMERIK:
    • MC: versiones < V1.15 SP1;
    • ONE: versiones < V6.15 SP1.
  • SINEC INS: versiones < V1.0.1.1.
Descripción: 

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución: 

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.

Detalle: 

Siemens, en su comunicación mensual de parches de seguridad, ha emitido un total de 31 avisos de seguridad, de los cuales 16 son actualizaciones.

  • El módulo Mendix Forgot Password Appstore contiene dos vulnerabilidades que podrían permitir a usuarios no autorizados hacerse con el control de las cuentas. Se han asignado los identificadores CVE-2022-26313 y CVE-2022-26314 para estas vulnerabilidades, crítica y alta respectivamente.
  • 71 vulnerabilidades en componentes de terceros, como Node.js, cURL, SQLite, CivetWeb y DNS (ISC BIND), podrían permitir a un atacante interferir con el producto afectado de diversas maneras. Se han asignado los identificadores CVE-2019-19317, CVE-2019-19646, CVE-2020-11656, CVE-2020-27304, CVE-2021-3711, CVE-2021-22930, CVE-2021-22931, CVE-2021-22945 y CVE-2021-25216 para estas vulnerabilidades críticas.
  • Una vulnerabilidad en el componente de terceros de los dispositivos RUGGEDCOM ROX y NSS, podría permitir a un atacante ejecutar código de forma remota o causar una condición de denegación de servicio debido a la forma en que verifica los certificados de seguridad. Se ha asignado el identificador CVE-2021-43527 para esta vulnerabilidad crítica.

Los tipos de nuevas vulnerabilidades, no críticas, publicadas se corresponden con los siguientes:

  • capacidad de volcar y modificar datos sensibles;
  • filtrar información o potencialmente realizar la ejecución remota de código en el contexto del proceso actual;
  • provocar un fallo y, potencialmente, también la ejecución de código arbitrario o la extracción de datos en el sistema anfitrión de destino;
  • ejecutar vulnerabilidades (también conocidas como 'NUCLEUS:13');
  • ejecutar código arbitrario en el sistema, comandos arbitrarios en la base de datos local o lograr una escalada de privilegios;
  • secuestrar y redirigir a los usuarios a una página web maliciosa, o permitir a un usuario autenticado acceder a archivos sensibles;
  • provocar una denegación de servicio, actuar como man-in-the-middle o recuperar información sensible u obtener funciones privilegiadas;
  • escalar sus privilegios a root;
  • desencadenar acciones maliciosas a través de una vulnerabilidad de cross-site scripting mediante el envío de enlaces crafteados a un usuario administrador de Polarion ALM;
  • obtener funciones privilegiadas.

Los identificadores CVE asignados para estas vulnerabilidades, no críticas, pueden consultarse en la sección 'vulnerability classification' de cada aviso de Siemens.

Encuesta valoración