Sintesi

Siemens ha rilasciato aggiornamenti di sicurezza per correggere 4 vulnerabilità, di cui una con gravità “critica” e 2 con gravità “alta”, in prodotti InterMesh Subscriber, integrati anche in sistemi SCADA (Supervisory Control and Data Acquisition) per migliorare la sicurezza e la gestione delle reti e degli allarmi in ambienti industriali. Tali vulnerabilità interessano il server web dei dispositivi interessati, e sono dovute ad una sanificazione non adeguata dei parametri di input presenti in specifiche richieste GET. Tramite l’utilizzo di richieste opportunamente predisposte un utente malevolo potrebbe sfruttare in maniera congiunta le vulnerabilità ed eseguire codice arbitrario sulle istanze interessate.

Tipologia

• Arbitrary Code Execution

Prodotti e/o versioni affette

Siemens

• InterMesh 7177 Hybrid 2.0 Subscriber, versioni precedenti alla 8.2.12
• InterMesh 7707 Fire Subscriber, versioni precedenti alla 7.2.12 (tale sistema risulta vulnerabile qualora abilitata l’interfaccia IP, configurazione non di default)

Azioni di mitigazione

Si raccomanda di implementare le misure di mitigazione seguendo le istruzioni fornite dal vendor per ciascun prodotto interessato e riportate nel bollettino di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta” e “critica”:

CVE-2024-47901

CVE-2024-47902

CVE-2024-47904

Riferimenti

https://cert-portal.siemens.com/productcert/html/ssa-333468.html

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.