Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Aggiornamenti per prodotti Siemens (AL02/240911/CSIRT-ITA)

Data:
11 Settembre 2024 09:50

Sintesi

Siemens ha rilasciato aggiornamenti di sicurezza per correggere molteplici vulnerabilità nei propri prodotti – anche SCADA.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (74,67/100)1.

Tipologia

  • Arbitrary Code Execution
  • Authentication Bypass
  • Denial of Service
  • Privilege Escalation

Prodotti e/o versioni affette

Siemens

  • Automation License Manager
  • ETI5 Ethernet Int. 1x100TX IEC61850
  • Industrial Edge Management
  • SCALANCE W-700 IEEE 802.11ax
  • SICAM SCC
  • SIMATIC BATCH V9.1
  • SIMATIC Information Server
  • SIMATIC PCS
  • SIMATIC Process Historian
  • SIMATIC S7-200 SMART CPU
  • SIMATIC WinCC Runtime Professional
  • SIMATIC WinCC V7/V8
  • SINEC NMS
  • SINUMERIK
  • SITIPE AT
  • Tecnomatix Plant Simulation
  • Totally Integrated Automation Portal (TIA Portal)

N.B.: Per il dettaglio delle versioni vulnerabili dei prodotti elencati si rimanda ai bollettini di sicurezza Siemens riportati nella sezione Riferimenti.

Azioni di mitigazione

Si raccomanda di implementare le misure di mitigazione seguendo le istruzioni fornite dal vendor per ciascun prodotto interessato e riportate nei bollettini di sicurezza nella sezione Riferimenti.

Per i restanti prodotti, si consiglia di monitorare il rilascio di ulteriori aggiornamenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta” e “critica”:

CVE-2024-45032

CVE-2024-33698

CVE-2023-44373

CVE-2024-35783

CVE-2024-41171

CVE-2024-44087

CVE-2024-34057

CVE-2024-41170

CVE-2024-43647

Riferimenti

https://cert-portal.siemens.com/productcert/html/ssa-359713.html

https://cert-portal.siemens.com/productcert/html/ssa-039007.html

https://cert-portal.siemens.com/productcert/html/ssa-721642.html

https://cert-portal.siemens.com/productcert/html/ssa-629254.html

https://cert-portal.siemens.com/productcert/html/ssa-342438.html

https://cert-portal.siemens.com/productcert/html/ssa-103653.html

https://cert-portal.siemens.com/productcert/html/ssa-673996.html

https://cert-portal.siemens.com/productcert/html/ssa-427715.html

https://cert-portal.siemens.com/productcert/html/ssa-969738.html

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.