Evasión de autenticación en SIMATIC Logon de Siemens

Fecha de publicación: 
13/02/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • SIMATIC Logon: Todas las versiones anteriores a la V1.5 SP3 Update 2
Descripción: 

Siemens ha detectado una vulnerabilidad que permite realizar una evasión de autenticación. Esta vulnerabilidad afecta a su producto SIMATIC Logon utilizado en SIMATIC WinCC: V7.x, SIMATIC WinCC Runtime Professional, SIMATIC PCS 7, SIMATIC PDM y SIMATIC IT.

Solución: 

Siemens ha desarrollado una nueva versión (SIMATIC Logon V1.5 SP3 Update 2) para mitigar la vulnerabilidad que afecta a su producto y recomienda a sus clientes actualizar a dicha versión. Los clientes que usen versiones recientes de SIMATIC WinCC, SIMATIC PCS 7, SIMATIC IT, o SIMATIC PDM pueden instalar la nueva versión de SIMATIC Logon sin actualizar estos productos como se describe en la nota de compatibilidad accesible en el siguiente link.

Detalle: 

Un atacante que posea conocimientos sobre los usuarios válidos y acceso físico o mediante red al producto afectado, podría evadir la autenticación de dicho producto a nivel de aplicación. Se ha reservado el identificador CVE-2017-2684 para esta vulnerabilidad.