Se han
identificado 2 vulnerabilidades críticas en los productos Simatec que utilizan
el componente WinCC.. Dichas vulnerabilidades se han catalogado con
Importancia: 5 - Crítica
Recursos afectados
SIMATIC WinCC:
- V7.0 SP2 y anteriores: Todas
las versiones
- V7.0 SP3: Todas las verisones
- V7.2: Todas las versiones
anteriores a V7.2 Update 9
- V7.3: Todas las versiones
anteriores a V7.3 Update 2
SIMATIC PCS 7:
- V7.1 SP4 y anteriores: Todas
las versiones
- V8.0: Todas las versiones
anteriores a V8.0 SP2 con WinCC V7.2 Update 9
- V8.1: Todas las versiones
anteriores a V8.1 con WinCC V7.3 Update 2
- TIA Portal V13: Todas las
versiones anteriores a V13 Update 6
Detalle e Impacto de las
vulnerabilidades detectadas
- Explotando la primera de ellas,
un usuario no autenticado, puede ejecutar código de manera remota en el
servidor WinCC mediante el envío de paquetes malformados. Se ha asignado
el identificador CVE-2014-8551 a la vulnerabilidad.
- Un usuario no autenticado puede
extraer archivos del servidor WinCC, mediante el envío de paquetes
manipulados. Se ha asignado el identificador CVE-2014-8552.
Recomendación
· Siemens
ha publicado actualizaciones para algunos de los productos afectados. El resto
de productos recibirán actualizaciones en un breve espacio de tiempo. Toda la
información, está disponible en el enlace de la sección siguiente llamada "más información".
Más información
- SSA-134508: Vulnerabilities in SIMATIC WinCC, PCS
7 and WinCC in TIA Portal http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-134508.pdf