Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos de Siemens

Múltiples vulnerabilidades en productos de Siemens

Fecha de publicación: 
09/03/2018
Importancia: 
4 - Alta
Recursos afectados: 

La vulnerailidades de Falta de autenticación en funciones críticas (Missing authentication for critical function) y de Fortaleza de cifrado inadecuada (Inadequate encryption strength) afecta a los siguientes productos:

  • DIGSI 4: Todas las versiones anteriores a la V4.92
  • EN100 Ethernet module IEC 61850 variant: Todas las versiones anteriores a la V4.30
  • EN100 Ethernet module PROFINET IO variant: Todas las versiones
  • EN100 Ethernet module Modbus TCP variant: Todas las versiones
  • EN100 Ethernet module DNP3 variant: Todas las versiones
  • EN100 Ethernet module IEC 104 variant: Todas las versiones

Los siguientes productos se ven afectados por la vulnerabilidad de Fortaleza de cifrado inadecuada (Inadequate encryption strength):

  • SIPROTEC 4 7SJ66: Todas las versiones anteriores a la V4.30. Afectado sólo por CVE-2018-4839
  • SIPROTEC Compact 7SJ80: Todas las versiones anteriores a la V4.77. Afectado sólo por CVE-2018-4839
  • SIPROTEC Compact 7SK80: Todas las versiones anteriores a la V4.77. Afectado sólo por CVE-2018-4839
  • SIPROTEC Compact 7SD80: Todas las versiones anteriores a la V4.70. Afectado sólo por CVE-2018-4839
  • Other SIPROTEC Compact relays: Todas las versiones. Afectado sólo por CVE-2018-4839
  • Other SIPROTEC 4 relays: Todas las verisones. Afectado sólo por CVE-2018-4839
Descripción: 

Los investigadores Ilya Karpov and Dmitry Sklyarov de Positive Technologies han reportado a Siemens varias vulnerabilidades que podrían permitir la obtención o la sobreescritura de contraseñas de acceso en los productos afectados.

Solución: 

El fabricante Siemens ha publicado las siguientes actualizaciones:

 

Detalle: 
  • La vulnerabilidad de Falta de autenticación en funciones críticas (Missing authentication for critical function) podría permitir a un atacante cargar una configuración de dispositivo modificada, permitiendo sobreescribir las contraseñas de autorización de acceso. Se ha reservado el código CVE-2018-4840 para esta vulnerabilidad.
  • La vulnerabilidad de Fortaleza de cifrado inadecuada (Inadequate encryption strength) podría permitir a un atacante con acceso local al sistema de ingeniería o con una posición de red privilegiada, capturar tráfico de red, posibilitando la reconstrucción de contraseñas de autorización de acceso. Se ha reservado el código CVE-2018-4839 para esta vulnerabilidad.

Encuesta valoración