Siemens SCALANCE M-800, RUGGEDCOM RM1224
A partir del 10 de enero de 2023, CISA ya no actualizará los avisos de seguridad de ICS sobre vulnerabilidades de productos de Siemens más allá del aviso inicial. Para obtener la información más actualizada sobre vulnerabilidades en este aviso, consulteAvisos de seguridad ProductCERT de Siemens (Servicios CERT | Servicios | Siemens Global).
1. RESUMEN EJECUTIVO
- Versión 4.8.6 de CVSS
- ATENCIÓN:Explotable de forma remota/baja complejidad de ataque
- Proveedor:Siemens
- Equipo:RUGGEDCOM RM1224, familia SCALANCE M-800
- Vulnerabilidades: Consumo incontrolado de recursos, validación de entrada incorrecta, exposición de elementos de datos a una sesión incorrecta, inserción de información confidencial en un archivo de registro
2. EVALUACIÓN DE RIESGOS
La explotación exitosa de estas vulnerabilidades podría permitir a un atacante autenticado ejecutar código arbitrario, escalar privilegios, falsificar tokens 2FA de otros usuarios o provocar una condición de denegación de servicio.
3. DETALLES TÉCNICOS
3.1 PRODUCTOS AFECTADOS
Los siguientes productos de Siemens están afectados:
- Siemens RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2): versiones anteriores a V8.1
- Siemens RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2): versiones anteriores a V8.1
- Siemens SCALANCE M804PB (6GK5804-0AP00-2AA2): versiones anteriores a V8.1
- Familia de routers ADSL Siemens SCALANCE M812-1: versiones anteriores a V8.1
- Familia de routers ADSL Siemens SCALANCE M816-1: versiones anteriores a V8.1
- Enrutador Siemens SCALANCE M826-2 SHDSL (6GK5826-2AB00-2AB2): versiones anteriores a V8.1
- Siemens SCALANCE M874-2 (6GK5874-2AA00-2AA2): versiones anteriores a V8.1
- Enrutador Siemens SCALANCE M874-3 3G (CN) (6GK5874-3AA00-2FA2): versiones anteriores a V8.1
- Siemens SCALANCE M874-3 (6GK5874-3AA00-2AA2): versiones anteriores a V8.1
- Siemens SCALANCE M876-3 (6GK5876-3AA02-2BA2): versiones anteriores a V8.1
- Siemens SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2): versiones anteriores a V8.1
- Siemens SCALANCE M876-4 (6GK5876-4AA10-2BA2): versiones anteriores a V8.1
- Siemens SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2): versiones anteriores a V8.1
- Siemens SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2): versiones anteriores a V8.1
- Siemens SCALANCE MUM853-1 (A1) (6GK5853-2EA10-2AA1): versiones anteriores a V8.1
- Siemens SCALANCE MUM853-1 (B1) (6GK5853-2EA10-2BA1): versiones anteriores a V8.1
- Siemens SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1): versiones anteriores a V8.1
- Siemens SCALANCE MUM856-1 (A1) (6GK5856-2EA10-3AA1): versiones anteriores a V8.1
- Siemens SCALANCE MUM856-1 (B1) (6GK5856-2EA10-3BA1): versiones anteriores a V8.1
- Siemens SCALANCE MUM856-1 (CN) (6GK5856-2EA00-3FA1): versiones anteriores a V8.1
- Siemens SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1): versiones anteriores a V8.1
- Siemens SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1): versiones anteriores a V8.1
- Enrutador LAN Siemens SCALANCE S615 EEC (6GK5615-0AA01-2AA2): versiones anteriores a V8.1
- Enrutador LAN Siemens SCALANCE S615 (6GK5615-0AA00-2AA2): versiones anteriores a V8.1
3.2 Descripción general de vulnerabilidades
3.2.1 CONSUMO DE RECURSOS SIN CONTROL CWE-400
Los dispositivos afectados no validan correctamente la longitud de las entradas al realizar ciertos cambios de configuración en la interfaz web, lo que permite que un atacante autenticado provoque una condición de denegación de servicio. Es necesario reiniciar el dispositivo para que la interfaz web vuelva a estar disponible.
CVE-2023-44321 Se le ha asignado a esta vulnerabilidad una puntuación base CVSS v3 de 2,7; la cadena de vector CVSS es (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L).
También se ha calculado una puntuación CVSS v4 paraCVE-2023-44321Se ha calculado una puntuación base de 5,1; la cadena vectorial CVSS es (CVSS4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N).
3.2.2 VALIDACIÓN DE ENTRADA INCORRECTA CWE-20
Los dispositivos afectados no validan correctamente la entrada en campos específicos de configuración de VPN. Esto podría permitir que un atacante remoto autenticado ejecute código arbitrario en el dispositivo.
CVE-2024-41976 Se le ha asignado a esta vulnerabilidad una puntuación base CVSS v3 de 7,2; la cadena de vector CVSS es (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-41976Se ha calculado una puntuación base de 8,6; la cadena vectorial CVSS es (CVSS4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
3.2.3 EXPOSICIÓN DE ELEMENTO DE DATOS A SESIÓN INCORRECTA CWE-488
Los dispositivos afectados no aplican correctamente el aislamiento entre sesiones de usuario en su componente de servidor web. Esto podría permitir que un atacante remoto autenticado aumente sus privilegios en los dispositivos.
CVE-2024-41977 Se le ha asignado a esta vulnerabilidad una puntuación base CVSS v3 de 7,1; la cadena de vector CVSS es (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-41977Se ha calculado una puntuación base de 7,3; la cadena vectorial CVSS es (CVSS4.0/AV:N/AC:H/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
3.2.4 INSERCIÓN DE INFORMACIÓN SENSIBLE EN EL ARCHIVO DE REGISTRO CWE-532
Los dispositivos afectados insertan información confidencial sobre la generación de tokens 2FA en los archivos de registro. Esto podría permitir que un atacante remoto autenticado falsifique tokens 2FA de otros usuarios.
CVE-2024-41978 Se le ha asignado a esta vulnerabilidad una puntuación base CVSS v3 de 6,5; la cadena de vector CVSS es (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-41978Se ha calculado una puntuación base de 7,1; la cadena vectorial CVSS es (CVSS4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N).
3.3 ANTECEDENTES
- SECTORES DE INFRAESTRUCTURA CRÍTICA: Química, Energía, Alimentación y Agricultura, Atención Sanitaria y Salud Pública, Sistemas de Transporte y Sistemas de Agua y Aguas Residuales
- PAÍSES/ZONAS DESPLIEGADAS: Mundial
- UBICACIÓN DE LA SEDE CENTRAL DE LA EMPRESA: Alemania
3.4 INVESTIGADOR
Siemens informó estas vulnerabilidades a CISA.
4. MITIGACIONES
Siemens ha identificado las siguientes soluciones alternativas y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo:
Como medida de seguridad general, Siemens recomienda proteger el acceso a la red de los dispositivos con mecanismos adecuados. Para operar los dispositivos en un entorno de TI protegido, Siemens recomienda configurar el entorno de acuerdo con Directrices operativas de Siemens para la seguridad industrial y seguir las recomendaciones de los manuales del producto.
Puede encontrar información adicional sobre seguridad industrial de Siemens en Página web de seguridad industrial de Siemens
Para obtener más información, consulte el aviso de seguridad asociado de Siemens SSA-087301 en HTML y CSAF.
CISA recomienda a los usuarios que tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:
- Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, garantizando que estén No accesible desde internet.
- Ubicar redes de sistemas de control y dispositivos remotos detrás de firewalls y aislarlos de las redes comerciales.
- Cuando se requiere acceso remoto, utilice métodos más seguros, como las redes privadas virtuales (VPN). Reconozca que las VPN pueden tener vulnerabilidades, deben actualizarse a la versión más reciente disponible y son tan seguras como los dispositivos conectados.
CISA recuerda a las organizaciones que deben realizar un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.
CISA también ofrece una sección para Prácticas recomendadas para la seguridad de los sistemas de control en la página web del ICS en cisa.govHay varios productos CISA que detallan las mejores prácticas de defensa cibernética disponibles para lectura y descarga, incluidos Mejorar la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para Defensa proactiva de los activos del ICS.
La orientación de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web del ICS en cisa.gov En el documento de información técnica, ICS-TIP-12-146-01B: Estrategias específicas de detección y mitigación de intrusiones cibernéticas.
Las organizaciones que observen actividades maliciosas sospechosas deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.
CISA también recomienda a los usuarios que tomen las siguientes medidas para protegerse de los ataques de ingeniería social:
Hasta el momento, no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades.
5. ACTUALIZAR HISTORIAL
- 15 de agosto de 2024: publicación inicial