Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Siemens produktuetan

Argitalpen data: 2019/06/11

Garrantzia: Handia

Kaltetutako baliabideak: 

  • Siveillance VMS 2017 R2, 11.2a baino lehenagoko bertsio guztiak
  • Siveillance VMS 2018 R1, 12.1a baino lehenagoko bertsio guztiak
  • Siveillance VMS 2018 R2, 12.2a baino lehenagoko bertsio guztiak
  • Siveillance VMS 2018 R3, 12.3a baino lehenagoko bertsio guztiak
  • Siveillance VMS 2019 R1, 13.1a baino lehenagoko bertsio guztiak
  • SCALANCE X-200, 5.2.4 bertsioa baino lehenagoko guztiak
  • SCALANCE X-200IRT, SCALANCE X-300 y SCALANCE X-414-3E, bertsio guztiak
  • SIEMENS LOGO!8
    • 6ED1052-xyyxx-0BA8, FS:01etik FS:06ra bitartekoak / Firmwarearen V1.80.xx eta V1.81.xx bertsioak
    • 6ED1052-xyy08-0BA0 FS:01 / firmwarearen V1.82.02 bertsioa baino lehenagokoak
  • SIMATIC Ident MV420 eta MV440 familiak

Azalpena: 

Siemens-en CERTek eta cirosec GmbH, Ruhr University of Bochum, Hochschule Augsburg eta Pen Test Partners-eko ikertzaileek Siemensen zenbait produkturi eragiten dieten hainbat ahultasun aurkitu dituzte.

Konponbidea: 

  • Siveillance VMS 2017 R2,  11.2a bertsiora eguneratu
  • Siveillance VMS 2018 R1, 12.1a bertsiora eguneratu
  • Siveillance VMS 2018 R2, 12.2a bertsiora eguneratu
  • Siveillance VMS 2018 R3, 12.3a bertsiora eguneratu
  • Siveillance VMS 2019 R1, 13.1a bertsiora eguneratu
  • SCALANCE X-200,  5.2.4 bertsiora eguneratu

Kaltetutako gainerako produktuen kasuan, ahultasunak arintzeko Siemensek gomendatzen du honako ekintza hauek egitea:

  • 80/TCP atala blokatzea kanpoko suebakian.
  • Gailuetan gordetako backup konfigurazioetara edo konfigurazio fitxategietara sarbidea murriztea.
  • Gailuen konfigurazioetara sare bitartez sartzeko mekanismoak murriztea edo desgaitzea, gaituta dauden kasuetan.
  • C-PLUG konfigurazio modulurako sarbidea murriztea, erabilgarri dagoen kasuetan.
  • Kaltetutako produktuetara sartzea ahalbidetzen duen sarea babestea.
  • DISA bit-a konfiguratzean, erabiltzaile erregistratuek proiektuan aldaketak egitea ekiditea. Funtzionamendurako argibideak kontsultatzea.

Xehetasuna: 

Argitaratutako ahultasun motak honako hauek dira:

  • Autentifikazio gabezia. Ahultasun horretarako CVE-2019-6581 eta CVE-2019-6582 identifikatzaileak erreserbatu dira.
  • Pasahitzak ateratzea. Ahultasun horretarako CVE-2019-6567 identifikatzailea erreserbatu da.
  • Zerbitzuaren ukapena. Ahultasun horretarako CVE-2019-6571 identifikatzailea erreserbatu da.
  • Saio hasierako IDak eskuratzea. Ahultasun horretarako CVE-2019-6584 identifikatzailea erreserbatu da.
  • Pribilegioen eskalatzea. Ahultasun horretarako CVE-2019-10925 identifikatzailea erreserbatu da.
  • Informazioa zabaltzea. Ahultasun horretarako CVE-2019-10926 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Komunikazioak, Siemens, Ahultasuna