Siemens ha identificado cuatro vulnerabilidades en su librería criptográfica de OpenSSL que afecta a varios de sus productos SCADA. Estas vulnerabilidades son expotables remotamente y han catagogad de Importancia: 4 – Alta

Recursos afectados

  1. APE versiones anteriores a Version 2.0.2
  2. CP1543-1: todas las versiones
  3. ROX 1: todas las versiones (solo afectado si Crossbow está instalado),
  4. ROX 2: all versions (solo afectado si eLAN o Crossbow está instalado),
  5. S7-1500: todas las versiones
  6. WinCC OA (PVSS): Versiones 3.8 – 3.12

Detalle e impacto de las vulnerabilidades

  • Las vulnerabilidades de la implementación OpenSSL posibilitan un ataque Man-in-the-Middle y permitirían a un atacante secuestrar una sesión entre el dispositivo y un usuario autorizado. La explotación de estas vulnerablidades afectan también a la disponibilidad del servicio, pudiendo causar caída del servidor Web del producto.
  • Las vulnerablidades tienen los CVEs CVE-2014-0224 para la vulnerabilidad man-in-the-middle y CVE-2014-0198, CVE-2010-529, CVE-2014-347 para las vulnerabilidades derivadas de una impropia validación de entrada.

Recomendación

Siemens ha publicado las actualizaciones:

  1. Productos APE 2.0.2: RUGGEDCOM APE  (http://support.automation.siemens.com/WW/view/en/97654933)
  2. WinCC OA (PVSS): Actualización disponible en el portal ETM (https://portal.etm.at/index.php)

Más información

Fuente: INTECO

Anuncios