Argitalpen data: 2019/06/11
Garrantzia: Handia
Kaltetutako baliabideak:
- Siveillance VMS 2017 R2, 11.2a baino lehenagoko bertsio guztiak
- Siveillance VMS 2018 R1, 12.1a baino lehenagoko bertsio guztiak
- Siveillance VMS 2018 R2, 12.2a baino lehenagoko bertsio guztiak
- Siveillance VMS 2018 R3, 12.3a baino lehenagoko bertsio guztiak
- Siveillance VMS 2019 R1, 13.1a baino lehenagoko bertsio guztiak
- SCALANCE X-200, 5.2.4 bertsioa baino lehenagoko guztiak
- SCALANCE X-200IRT, SCALANCE X-300 y SCALANCE X-414-3E, bertsio guztiak
- SIEMENS LOGO!8
- 6ED1052-xyyxx-0BA8, FS:01etik FS:06ra bitartekoak / Firmwarearen V1.80.xx eta V1.81.xx bertsioak
- 6ED1052-xyy08-0BA0 FS:01 / firmwarearen V1.82.02 bertsioa baino lehenagokoak
- SIMATIC Ident MV420 eta MV440 familiak
Azalpena:
Siemens-en CERTek eta cirosec GmbH, Ruhr University of Bochum, Hochschule Augsburg eta Pen Test Partners-eko ikertzaileek Siemensen zenbait produkturi eragiten dieten hainbat ahultasun aurkitu dituzte.
Konponbidea:
- Siveillance VMS 2017 R2, 11.2a bertsiora eguneratu
- Siveillance VMS 2018 R1, 12.1a bertsiora eguneratu
- Siveillance VMS 2018 R2, 12.2a bertsiora eguneratu
- Siveillance VMS 2018 R3, 12.3a bertsiora eguneratu
- Siveillance VMS 2019 R1, 13.1a bertsiora eguneratu
- SCALANCE X-200, 5.2.4 bertsiora
eguneratu
Kaltetutako gainerako produktuen kasuan, ahultasunak arintzeko Siemensek gomendatzen du honako ekintza hauek egitea:
- 80/TCP atala blokatzea kanpoko suebakian.
- Gailuetan gordetako backup konfigurazioetara edo konfigurazio fitxategietara sarbidea murriztea.
- Gailuen konfigurazioetara sare bitartez sartzeko mekanismoak murriztea edo desgaitzea, gaituta dauden kasuetan.
- C-PLUG konfigurazio modulurako sarbidea murriztea, erabilgarri dagoen kasuetan.
- Kaltetutako produktuetara sartzea ahalbidetzen duen sarea babestea.
- DISA bit-a konfiguratzean, erabiltzaile erregistratuek proiektuan aldaketak egitea ekiditea. Funtzionamendurako argibideak kontsultatzea.
Xehetasuna:
Argitaratutako ahultasun motak honako hauek dira:
- Autentifikazio gabezia. Ahultasun horretarako CVE-2019-6581 eta CVE-2019-6582 identifikatzaileak erreserbatu dira.
- Pasahitzak ateratzea. Ahultasun horretarako CVE-2019-6567 identifikatzailea erreserbatu da.
- Zerbitzuaren ukapena. Ahultasun horretarako CVE-2019-6571 identifikatzailea erreserbatu da.
- Saio hasierako IDak eskuratzea. Ahultasun horretarako CVE-2019-6584 identifikatzailea erreserbatu da.
- Pribilegioen eskalatzea. Ahultasun horretarako CVE-2019-10925 identifikatzailea erreserbatu da.
- Informazioa zabaltzea. Ahultasun horretarako CVE-2019-10926 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Komunikazioak, Siemens, Ahultasuna