Aggiornamenti per prodotti Siemens (AL04/240514/CSIRT-ITA)

Data:
14 Maggio 2024 17:22

Sintesi

Siemens ha rilasciato aggiornamenti di sicurezza per correggere molteplici vulnerabilità nei propri prodotti – anche SCADA.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (74,67/100)¹.

Tipologia

Remote Code Execution
Denial of Service
Arbitrary File Upload
Privilege Escalation
Security Restrictions Bypass

Prodotti e/o versioni affette

Siemens

Cerberus PRO UL Fire Protection Systems
Desigo Fire Safety UL
Industrial Products
JT2Go
Parasolid
Polarion ALM
PS/IGES Parasolid Translator Component
RUGGEDCOM APE1808 devices
RUGGEDCOM CROSSBOW
SICAM Products
SIMATIC CN 4100
SIMATIC RTLS Locating Manager
Simcenter Nastran
Solid Edge
Teamcenter Visualization
Tecnomatix Plant Simulation

Azioni di mitigazione

Si raccomanda di implementare le misure di mitigazione seguendo le istruzioni fornite dal vendor per ciascun prodotto interessato e riportate nei bollettini di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta” e “critica”:

CVE-ID
CVE-2023-33953	CVE-2023-38039	CVE-2023-38545	CVE-2023-4807
CVE-2023-5363	CVE-2023-5678	CVE-2023-6916	CVE-2024-0218
CVE-2024-22039	CVE-2024-22040	CVE-2024-22041	CVE-2024-27939
CVE-2024-27940	CVE-2024-27941	CVE-2024-27942	CVE-2024-27943
CVE-2024-27944	CVE-2024-27945	CVE-2024-30206	CVE-2024-30207
CVE-2024-30209	CVE-2024-31484	CVE-2024-31485	CVE-2024-31980
CVE-2024-32055	CVE-2024-32057	CVE-2024-32058	CVE-2024-32059
CVE-2024-32060	CVE-2024-32061	CVE-2024-32062	CVE-2024-32063
CVE-2024-32064	CVE-2024-32065	CVE-2024-32066	CVE-2024-32635
CVE-2024-32636	CVE-2024-32639	CVE-2024-32740	CVE-2024-32741
CVE-2024-32742	CVE-2024-33489	CVE-2024-33490	CVE-2024-33491
CVE-2024-33492	CVE-2024-33493	CVE-2024-33495	CVE-2024-33498
CVE-2024-33499	CVE-2024-33577	CVE-2024-34085	CVE-2024-34086
CVE-2024-34771	CVE-2024-34772	CVE-2024-34773

Riferimenti

https://cert-portal.siemens.com/productcert/html/ssa-976324.html

https://cert-portal.siemens.com/productcert/html/ssa-953710.html

https://cert-portal.siemens.com/productcert/html/ssa-923361.html

https://cert-portal.siemens.com/productcert/html/ssa-916916.html

https://cert-portal.siemens.com/productcert/html/ssa-871704.html

https://cert-portal.siemens.com/productcert/html/ssa-661579.html

https://cert-portal.siemens.com/productcert/html/ssa-589937.html

https://cert-portal.siemens.com/productcert/html/ssa-489698.html

https://cert-portal.siemens.com/productcert/html/ssa-292022.html

https://cert-portal.siemens.com/productcert/html/ssa-273900.html

https://cert-portal.siemens.com/productcert/html/ssa-258494.html

https://cert-portal.siemens.com/productcert/html/ssa-093430.html

https://cert-portal.siemens.com/productcert/html/ssa-046364.html

https://www.siemens.com/global/en/products/services/cert.html#SecurityPublications

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.

CSIRT Toscana

CSIRT Toscana