Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos de Siemens

Fecha de publicación: 11/09/2019

Importancia: Crítica

Recursos afectados:

  • RUGGEDCOM WIN70xx Base Station, todas las versiones;
  • RUGGEDCOM WIN72xx Base Station, todas las versions;
  • IE/WSN-PA Link WirelessHART Gateway, todas las versiones;
  • SIMATIC TDC CP51M1, todas las versiones anteriores a V1.1.7;
  • CM 1542-1, todas las versiones;
  • CP 1242-7, todas las versiones;
  • CP 1243-1, todas las versiones;
  • CP 1243-7 LTE EU, todas las versiones;
  • CP 1243-7 LTE US, todas las versiones,
  • CP 1243-8 IRC, todas las versiones;
  • CP 1542SP-1, todas las versiones;
  • CP 1542SP-1 IRC, todas las versiones;
  • CP 1543-1, todas las versiones;
  • CP 1543SP-1, todas las versiones;
  • CloudConnect 712, todas las versiones anteriores a V1.1.5;
  • ROX II, todas las versiones solo afectadas por CVE-2019-11479;
  • RUGGEDCOM RM1224, todas las versiones;
  • S7-1500 CPU 1518(F)-4 PN/DP MFP, todas las versiones;
  • SCALANCE M800, todas las versiones;
  • SCALANCE M875, todas las versiones;
  • SCALANCE S615, todas las versiones;
  • SCALANCE SC-600, todas las versiones anteriores a V2.0.1;
  • SCALANCE W-700 (IEEE802.11n);
  • SCALANCE W1700, todas las versiones;
  • SCALANCE WLC711, todas las versiones;
  • SCALANCE WLC712, todas las versiones;
  • SIMATIC ITC1500, todas las versiones;
  • SIMATIC ITC1500 PRO, todas las versiones;
  • SIMATIC ITC1900, todas las versiones;
  • SIMATIC ITC1900 PRO, todas las versiones;
  • SIMATIC ITC2200, todas las versiones;
  • SIMATIC ITC2200 PRO, todas las versiones;
  • SIMATIC MV500, todas las versiones;
  • SIMATIC RF166C, todas las versiones;
  • SIMATIC RF185C, todas las versiones;
  • SIMATIC RF186C, todas las versiones;
  • SIMATIC RF186CI, todas las versiones;
  • SIMATIC RF188C, todas las versiones;
  • SIMATIC RF188CI, todas las versiones;
  • SIMATIC RF600R, todas las versiones;
  • SIMATIC Teleserver Adapter IE Advanced, todas las versiones;
  • SIMATIC Teleserver Adapter IE Basic, todas las versiones;
  • SINEMA Remote Connect Server, todas las versiones anteriores a V2.0 SP1;
  • SNUMERIK 808D, todas las versiones;
  • SNUMERIK 828D, todas las versiones;
  • SINUMERIK 840D sl, todas las versiones;
  • TIM 1531 IRC, todas las versiones;
  • SIMATIC Field PG M4, todas las versiones de BIOS anteriores a V18.01.09;
  • SIMATIC Field PG M5, todas las versiones de BIOS anteriores a V22.01.07;
  • SIMATIC Field PG M6, todas las versiones de BIOS anteriores a V26.01.05;
  • SIMATIC IPC127E, todas las versiones;
  • SIMATIC IPC2X7E, todas las versiones;
  • SIMATIC IPC3000 SMART V2, todas las versiones;
  • SIMATIC IPC327E, todas las versiones;
  • SIMATIC IPC347E, todas las versiones;
  • SIMATIC IPC377E, todas las versiones;
  • SIMATIC IPC427C, todas las versiones;
  • SIMATIC IPC427D, todas las versiones de BIOS anteriores a V17.0X.16;
  • SIMATIC IPC427E, todas las versiones de BIOS anteriores a V21.01.11;
  • SIMATIC IPC477C, todas las versiones;
  • SIMATIC IPC477D, todas las versiones de BIOS anteriores a V17.0X.16;
  • SIMATIC IPC477E, todas las versiones de BIOS anteriores a V21.01.11;
  • SIMATIC IPC477E Pro, todas las versiones de BIOS anteriores a V21.01.11;
  • SIMATIC IPC527G, todas las versiones;
  • SIMATIC IPC547E, todas las versiones;
  • SIMATIC IPC547G, todas las versiones;
  • SIMATIC IPC627C, todas las versiones;
  • SIMATIC IPC627D, todas las versiones de BIOS anteriores a V19.02.12;
  • SIMATIC IPC627E, todas las versiones de BIOS anteriores a V25.02.04;
  • SIMATIC IPC647C, todas las versiones;
  • SIMATIC IPC647D, todas las versiones de BIOS anteriores a V19.01.15;
  • SIMATIC IPC647E, todas las versiones de BIOS anteriores a V25.02.04;
  • SIMATIC IPC677C, todas las versiones;
  • SIMATIC IPC677D, todas las versiones de BIOS anteriores a V19.02.12;
  • SIMATIC IPC677E, todas las versiones de BIOS anteriores a V25.02.04;
  • SIMATIC IPC827C, todas las versiones;
  • SIMATIC IPC827D, todas las versiones de BIOS anteriores a V19.02.12;
  • SIMATIC IPC847C, todas las versiones;
  • SIMATIC IPC847E, todas las versiones de BIOS anteriores a V25.02.04;
  • SIMATIC ITP1000, todas las versiones de BIOS anteriores a V23.01.06;
  • SIMATIC S7-1500 CPU S7-1518 PN/DP MFP, todas las versiones;
  • SIMATIC S7-1500 CPU S7-1518F-4 PN/DP MFP, todas las versions;
  • SIMOTION P320-4E, todas las versiones;
  • SIMOTION P320-4S, todas las versiones;
  • SINUMERIK 840 D sl, todas las versiones;
  • SINUMERIK PCU 50.5, todas las versiones;
  • SINUMERIK Panels con integración TCU, todas las versiones;
  • SINUMERIK TCU 30.3, todas las versiones.

Descripción:

Se han publicado múltiples vulnerabilidades del tipo ejecución de comandos, evasión de autenticación en aplicación web, Cross-Site Scripting (XSS), denegación de servicio, desbordamiento de búfer, obtención de hash de credenciales, credenciales insuficientemente protegidas y Cross-site request forgery (CSRF) que podrían permitir a un atacante ejecutar código arbitrario, obtener información sensible, modificar la conectividad de un usuario, ejecutar comandos en la aplicación web y modificar, subir o eliminar ficheros en el sistema.

Solución:

Consultar la sección de referencias.

Detalle:

A continuación, se detallan las vulnerabilidades de severidad crítica:

  • Mediante el envío de paquetes TCP especialmente diseñados a un dispositivo con una manipulación del Urgent Pointer, un atacante podría ejecutar código arbitrario. Se han asignado los identificadores CVE-2019-12255 y CVE-2019-12260 para esta vulnerabilidad.
  • Mediante el envío de paquetes de IPv4 a un dispositivo con una opción especialmente diseñada de IP, un atacante podría ejecutar código arbitrario. Se ha asignado los identificadores CVE-2019-1225 y CVE-2019-12256 para esta vulnerabilidad.

Para el resto de las vulnerabilidades, se han asignado los identificadores: CVE-2019-13923, CVE-2019-11477, CVE-2019-11478, CVE-2019-11479, CVE-2018-1212, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091, CVE-2019-13918, CVE-2019-13919, CVE-2019-13920, CVE-2019-13922, CVE-2019-12257, CVE-2019-12258, CVE-2019-10937, CVE-2019-12259, CVE-2019-12261, CVE-2019-12262, CVE-2019-12263, CVE-2019-12264, CVE-2019-12265.

Etiquetas: Siemens, Vulnerabilidad