Sistemas de protección contra incendios Siemens Desigo Fire Safety UL y Cerberus PRO UL

mayo 26, 2024

A partir del 10 de enero de 2023, CISA ya no actualizará los avisos de seguridad de ICS para las vulnerabilidades de los productos Siemens más allá del aviso inicial. Para obtener la información más actualizada sobre las vulnerabilidades en este aviso, consulteAvisos de seguridad ProductCERT de Siemens (Servicios CERT | Servicios | Siemens Global).

Ver CSAF

1. RESUMEN EJECUTIVO

CVSS v3 10.0
ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
Proveedor: siemens
Equipo: Cerberus PRO UL y Desigo Fire Safety UL
Vulnerabilidades: Desbordamiento de búfer clásico, lectura fuera de límites, restricción inadecuada de operaciones dentro de los límites de un búfer de memoria

2. EVALUACIÓN DE RIESGOS

La explotación exitosa de las vulnerabilidades podría permitir a un atacante no autenticado, que obtuvo acceso a la red del sistema de protección contra incendios, ejecutar código arbitrario en los productos afectados (CVE-2024-22039) o crear una condición de denegación de servicio (CVE-2024- 22040, CVE-2024-22041).

3. DETALLES TÉCNICOS

3.1 PRODUCTOS AFECTADOS

Los siguientes productos de Siemens se ven afectados:

Siemens Cerberus PRO UL Compact Panel FC922/924: Todas las versiones anteriores a MP4
Herramienta de ingeniería Siemens Cerberus PRO UL: todas las versiones anteriores a MP4
Distribución en la nube Siemens Cerberus PRO UL X300: todas las versiones anteriores a V4.3.0001
Panel compacto Siemens Desigo Fire Safety UL FC2025/2050: todas las versiones anteriores a MP4
Herramienta de ingeniería UL de seguridad contra incendios Siemens Desigo: todas las versiones anteriores a MP4
Distribución en la nube Siemens Desigo Fire Safety UL X300: todas las versiones anteriores a V4.3.0001

3.2 Descripción general de la vulnerabilidad

3.2.1 COPIA DE BUFFER SIN COMPROBAR EL TAMAÑO DE ENTRADA (‘DESBORDAMIENTO DE BUFFER CLÁSICO’) CWE-120

La biblioteca de comunicación de red en los sistemas afectados no valida la longitud de ciertos atributos del certificado X.509, lo que podría provocar un desbordamiento del búfer basado en pila. Esto podría permitir que un atacante remoto no autenticado ejecute código en el sistema operativo subyacente con privilegios de root. Para la herramienta de ingeniería Cerberus PRO UL y la herramienta de ingeniería Desigo Fire Safety UL, la explotación exitosa requiere un atacante en ruta que intercepte la comunicación de la herramienta de ingeniería en la red del sistema contra incendios; La ejecución de código podría ser posible en el sistema operativo subyacente con los privilegios de la cuenta de usuario de la herramienta de ingeniería.

Saber más Organizaciones finlandesas atacadas por el ransomware Akira

CVE-2024-22039 ha sido asignado a esta vulnerabilidad. Se ha asignado una puntuación base CVSS v3 de 10,0; la cadena del vector CVSS es (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).

Se ha calculado una puntuación CVSS v4 para CVE-2024-22039. Se ha calculado una puntuación base de 10,0; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H).

3.2.2 FUERA DE LÍMITES LEER CWE-125

La biblioteca de comunicaciones de red de los sistemas afectados no valida suficientemente los valores HMAC, lo que podría provocar una sobrelectura del búfer. Esto podría permitir que un atacante remoto no autenticado bloquee el servicio de red. Para la herramienta de ingeniería Cerberus PRO UL y la herramienta de ingeniería Desigo Fire Safety UL, la explotación exitosa requiere un atacante en ruta que intercepte la comunicación de la herramienta de ingeniería en la red del sistema contra incendios; El posible impacto se limita a la herramienta, no al sistema operativo subyacente.

CVE-2024-22040 ha sido asignado a esta vulnerabilidad. Se ha asignado una puntuación base CVSS v3 de 7,5; la cadena del vector CVSS es (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).

Se ha calculado una puntuación CVSS v4 para CVE-2024-22040. Se ha calculado una puntuación base de 8,7; la cadena del vector CVSS es (CVSS:4.0/V:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H).

3.2.3 RESTRICCIÓN INADECUADA DE OPERACIONES DENTRO DE LOS LÍMITES DE UN BUFFER DE MEMORIA CWE-119

La biblioteca de comunicación de red en los sistemas afectados maneja incorrectamente los buffers de memoria al analizar los certificados X.509. Esto podría permitir que un atacante remoto no autenticado bloquee el servicio de red. Para la herramienta de ingeniería Cerberus PRO UL y la herramienta de ingeniería Desigo Fire Safety UL, la explotación exitosa requiere un atacante en ruta que intercepte la comunicación de la herramienta de ingeniería en la red del sistema contra incendios; El posible impacto se limita a la herramienta, no al sistema operativo subyacente.

Saber más Los graduados de secundaria pueden consultar los resultados de sus exámenes estatales en el Portal del Ciudadano

CVE-2024-22041 ha sido asignado a esta vulnerabilidad. Se ha asignado una puntuación base CVSS v3 de 7,5; la cadena del vector CVSS es (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).

Se ha calculado una puntuación CVSS v4 para CVE-2024-22041. Se ha calculado una puntuación base de 8,7; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N).

3.3 ANTECEDENTES

SECTORES DE INFRAESTRUCTURA CRÍTICA: Servicios de emergencia
PAÍSES/ÁREAS DESPLEGADAS: Mundial
UBICACIÓN DE LA SEDE DE LA EMPRESA: Alemania

3.4 INVESTIGADOR

Siemens informó estas vulnerabilidades a CISA.

4. MITIGACIONES

Siemens ha identificado las siguientes soluciones y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo:

Cerberus PRO UL Compact Panel FC922/924, Cerberus PRO UL Engineering Tool, Desigo Fire Safety UL Compact Panel FC2025/2050, Desigo Fire Safety UL Engineering Tool: Actualización a MP4 o versión posterior
Distribución en la nube Cerberus PRO UL X300, Distribución en la nube Desigo Fire Safety UL X300: actualización a V4.3.0001 o versión posterior

Como medida de seguridad general, Siemens recomienda proteger el acceso a la red de los dispositivos con mecanismos adecuados. Para operar los dispositivos en un entorno de TI protegido, Siemens recomienda configurar el entorno de acuerdo con Directrices operativas de Siemens para la seguridad industrial y siguiendo las recomendaciones de los manuales del producto.

Encontrará más información sobre seguridad industrial de Siemens en la página Página web de seguridad industrial de Siemens

Para obtener más información, consulte el aviso de seguridad de Siemens asociado SSA-953710 en HTML y CSAF.

CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:

Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que estén no accesible desde internet.
Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN). Reconozca que las VPN pueden tener vulnerabilidades, deben actualizarse a la versión más reciente disponible y son tan seguras como los dispositivos conectados.

Saber más Clima cibernético para marzo de 2024

CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.

CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.

CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.

Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.

Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.

Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades.

5. ACTUALIZAR HISTORIAL

16 de mayo de 2024: Publicación inicial

Source link