Introducción
Siemens ha emitido un total de 13 nuevos avisos de seguridad en su boletín mensual de diciembre, recopilando un total de 437 vulnerabilidades de distintas severidades.
Análisis
Las vulnerabilidades de severidad crítica asociadas a sus productos son las siguientes:
- CVE-2023-44373: Inyección de código
- múltiples CVE recogidos en SSA-398330 (consultar referencias).[1]
Recomendaciones
- Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens[2].
Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de ‘Referencias’.
- SSA-068047: Multiple Vulnerabilities in SCALANCE M-800/S615 Family before V7.2.2
SSA-077170: Multiple Vulnerabilities in SINEC INS before V1.0 SP2 Update 2
SSA-118850: Denial of Service Vulnerability in the OPC UA Implementation in SINUMERIK ONE and SINUMERIK MC
SSA-180704: Multiple Vulnerabilities in SCALANCE M-800/S615 Family before V8.0
SSA-280603: Denial of Service Vulnerability in SINUMERIK ONE and SINUMERIK MC
SSA-398330: Vulnerabilities in the additional GNU/Linux subsystem of the SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP V3.1
SSA-480095: Vulnerabilities in the Web Interface of SICAM Q100 Devices before V2.60
SSA-592380: Denial of Service Vulnerability in SIMATIC S7-1500 CPUs and related products
SSA-693975: Denial-of-Service Vulnerability in the Web Server of Industrial Products
SSA-844582: Electromagnetic Fault Injection in LOGO! V8.3 BM Devices Results in Broken LOGO! V8.3 Product CA
SSA-887801: Information Disclosure Vulnerability in SIMATIC STEP 7 (TIA Portal)
SSA-892915: Multiple Denial of Service Vulnerabilities in the Webserver of Industrial Products
SSA-999588: Multiple Vulnerabilities in User Management Component (UMC) before V2.11.2