Aggiornamenti per prodotti Siemens (AL03/241210/CSIRT-ITA)

Data:
10 Dicembre 2024 16:03

Sintesi

Siemens ha rilasciato aggiornamenti di sicurezza per correggere molteplici vulnerabilità nei propri prodotti, di cui 34 con gravità “alta”.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (65,12/100)¹.

Tipologia

Arbitrary Code Execution
Data Manipulation

Prodotti e/o versioni affette

Siemens

Parasolid, versioni 36.1, 37.0, 37.1
RUGGEDCOM ROX MX5000, MX5000RE, RX1400, RX1500, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536, RX5000
SIMATIC S7-PLCSIM, versioni 16, 17, 18
SIMATIC STEP 7 Safety, versioni 16, 17, 18, 19
SIMATIC STEP 7, versioni 16, 17, 18, 19
SIMATIC WinCC Unified PC Runtime, versioni 18, 19
SIMATIC WinCC Unified, versioni 16, 17, 18, 19
SIMATIC WinCC, versioni 16, 17, 18, 19
Simcenter Femap, versioni 2306, 2401, 2406
SIMOCODE ES, versioni 16, 17, 18, 19
SIMOTION SCOUT TIA, versioni 5.4 (SP1, SP3), 5.5 SP1, 5.6 SP1
SINAMICS Startdrive, versioni 16, 17, 18, 19
SIRIUS Safety ES (TIA Portal), versioni 17, 18, 19
SIRIUS Soft Starter ES (TIA Portal), versioni 17, 18, 19
Solid Edge SE2024
Teamcenter Visualization, versioni 14.2, 14.3, 2312, 2406
TIA Portal Cloud, versioni 16, 17, 18, 19

Azioni di mitigazione

Si raccomanda di implementare le misure di mitigazione seguendo le istruzioni fornite dal vendor per ciascun prodotto interessato e riportate nei bollettini di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità “alta”:

CVE-IDs
CVE-2020-28398	CVE-2024-52051	CVE-2024-45463	CVE-2024-45464
CVE-2024-45465	CVE-2024-45466	CVE-2024-45467	CVE-2024-45468
CVE-2024-45469	CVE-2024-45470	CVE-2024-45471	CVE-2024-45472
CVE-2024-45473	CVE-2024-45474	CVE-2024-45475	CVE-2024-52565
CVE-2024-52566	CVE-2024-52567	CVE-2024-52568	CVE-2024-52569
CVE-2024-52570	CVE-2024-52571	CVE-2024-52572	CVE-2024-52573
CVE-2024-52574	CVE-2024-53041	CVE-2024-53242	CVE-2024-54093
CVE-2024-54094	CVE-2024-54095	CVE-2024-49849	CVE-2024-41981
CVE-2024-47046	CVE-2024-54091

Riferimenti

https://cert-portal.siemens.com/productcert/html/ssa-384652.html

https://cert-portal.siemens.com/productcert/html/ssa-392859.html

https://cert-portal.siemens.com/productcert/html/ssa-645131.html

https://cert-portal.siemens.com/productcert/html/ssa-730188.html

https://cert-portal.siemens.com/productcert/html/ssa-800126.html

https://cert-portal.siemens.com/productcert/html/ssa-881356.html

https://cert-portal.siemens.com/productcert/html/ssa-979056.html

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.

CSIRT Toscana

CSIRT Toscana