Introducció
Siemens ha emès un total de 13 nous avisos de seguretat al seu butlletí mensual de desembre, recopilant un total de 437 vulnerabilitats de diferents severitats.
Anàlisi
Les vulnerabilitats de severitat crítica associades als seus productes són les següents:
- CVE-2023-44373: Injecció de codi.
- múltiples CVE recollits en SSA-398330 (consultar referèncias).[1]
Recomanacions
- Les actualitzacions que corregeixen les vulnerabilitats indicades es poden obtenir des del panell de descàrrega de Siemens[2].
Per als productes sense actualitzacions disponibles és recomanable aplicar les mesures de mitigació descrites a la secció de ‘Referències’.
[1] Referències
- SSA-068047: Multiple Vulnerabilities in SCALANCE M-800/S615 Family before V7.2.2
SSA-077170: Multiple Vulnerabilities in SINEC INS before V1.0 SP2 Update 2
SSA-118850: Denial of Service Vulnerability in the OPC UA Implementation in SINUMERIK ONE and SINUMERIK MC
SSA-180704: Multiple Vulnerabilities in SCALANCE M-800/S615 Family before V8.0
SSA-280603: Denial of Service Vulnerability in SINUMERIK ONE and SINUMERIK MC
SSA-398330: Vulnerabilities in the additional GNU/Linux subsystem of the SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP V3.1
SSA-480095: Vulnerabilities in the Web Interface of SICAM Q100 Devices before V2.60
SSA-592380: Denial of Service Vulnerability in SIMATIC S7-1500 CPUs and related products
SSA-693975: Denial-of-Service Vulnerability in the Web Server of Industrial Products
SSA-844582: Electromagnetic Fault Injection in LOGO! V8.3 BM Devices Results in Broken LOGO! V8.3 Product CA
SSA-887801: Information Disclosure Vulnerability in SIMATIC STEP 7 (TIA Portal)
SSA-892915: Multiple Denial of Service Vulnerabilities in the Webserver of Industrial Products
SSA-999588: Multiple Vulnerabilities in User Management Component (UMC) before V2.11.2