VULNERABILIDADES EN ‘WinCC Web Navigator’

Siemens ha publicado un aviso de seguridad sobre 3 graves vulnerabilidades califadas con importancia [4-alta ]

Descripción

• WinCC Web Navigator es susceptible a tres vulnerabilidades que podrían ser explotadas remotamente.

Detalle de vulnerabilidades

• La primera vulnerabilidad es una inyección SQL que podría comprometer la confidencialidad, integridad y disponibilidad del sistema afectado. Un atacante podría manipular la base de datos, elevar sus permisos y, dependiendo de la configuración del sistema, ganar acceso total al mismo.
• Las dos vulnerabilidades restantes se encuentran en el inicio de sesión del Web Navigator y la administración de sesiones. Si un atacante explota alguna de estas vulnerabilidades podría eludir la autenticación y tener acceso al sistema.
• Para más información sobre estas vulnerabilidades puede consultar el aviso de seguridad de Siemens SSA-345843.

Recursos afectados

1. WinCC 7.2 y anteriores
2. SIMATIC PCS7 V8.0 SP1 y anteriores

Recomendación

• Siemens proporciona la actualización WinCC 7.2 Update 1 [1], la cual corrige las vulnerabilidades descritas en el presente aviso.
• NOTA: usuarios de SIMATIC PCS7 con una versión anterior a V8.0 SP1 debe actualizar a esta versión primero, y despues instalar WinCC 7.2 Update 1.

Más información:

http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-345843.pdf

Fuente: INTECO