Siemens ha publicado un Service pack para
WinCC (TIA Portal), que corrige dos vulnerabilidades, catalogada de
Importancia: 3 - Media
Recursos
afectados
- SIMATIC WinCC (TIA Portal): Todas las versiones anteriores a V13 SP1
- Credenciales no protegidas en tránsito (CVE-2015-1358).- El módulo de gestión remota de WinCC no implementa suficientes mecanismos para proteger las credenciales cuando son transmitidas a través de la red. Un atacante que monitorice el tráfico podría reconstruir las contraseñas.
- Clave de cifrado hardcodeada (CVE-2014-4686).- La clave de cifrado en WinCC RT Profesional está embebida en el código de la aplicación, lo que permitiría a un atacante escalar privilegios con algún usuario previamente comprometido.
- Instalar el Service pack 1 para SIMANTIC WinCC.
- Siemens Security Advisory by Siemens ProductCERT http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-543623.pdf