SITOP UPS1600 | CISA
A partir del 10 de enero de 2023, CISA ya no actualizará los avisos de seguridad de ICS para las vulnerabilidades de los productos Siemens más allá del aviso inicial. Para obtener la información más actualizada sobre las vulnerabilidades en este aviso, consulteAvisos de seguridad ProductCERT de Siemens (Servicios CERT | Servicios | Siemens Global).
1. RESUMEN EJECUTIVO
- CVSS v3 5.6
- ATENCIÓN: Explotable remotamente
- Proveedor: siemens
- Equipo: SITOP UPS1600 10 A Ethernet/ PROFINET (6EP4134-3AB00-2AY0), SITOP UPS1600 20 A Ethernet/ PROFINET (6EP4136-3AB00-2AY0), SITOP UPS1600 40 A Ethernet/ PROFINET (6EP4137-3AB00-2AY0), SITOP UPS1600 EX 20 Una Ethernet PROFINET (6EP4136-3AC00-2AY0)
- Vulnerabilidades: Escritura fuera de límites
2. EVALUACIÓN DE RIESGOS
La explotación exitosa de estas vulnerabilidades podría permitir que un atacante cause un impacto limitado en los sistemas afectados.
3. DETALLES TÉCNICOS
3.1 PRODUCTOS AFECTADOS
Las siguientes versiones de Siemens SITOP UPS1600, una fuente de alimentación ininterrumpida, se ven afectadas:
- SITOP UPS1600 10 A Ethernet/PROFINET (6EP4134-3AB00-2AY0): todas las versiones anteriores a V2.5.4
- SITOP UPS1600 20 A Ethernet/PROFINET (6EP4136-3AB00-2AY0): todas las versiones anteriores a V2.5.4
- SITOP UPS1600 40 A Ethernet/PROFINET (6EP4137-3AB00-2AY0): todas las versiones anteriores a V2.5.4
- SITOP UPS1600 EX 20 A Ethernet PROFINET (6EP4136-3AC00-2AY0) Todas las versiones anteriores a V2.5.4
3.2 Descripción general de la vulnerabilidad
3.2.1 ESCRITURA FUERA DE LÍMITES CWE-787
mstolfp en libntp/mstolfp.c en NTP 4.2.8p15 tiene una escritura fuera de límites al agregar un punto decimal. Un adversario puede atacar el proceso ntpq de un cliente, pero no puede atacar ntpd.
CVE-2023-26552 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 5,6; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).
3.2.2 ESCRITURA FUERA DE LÍMITES CWE-787
mstolfp en libntp/mstolfp.c en NTP 4.2.8p15 tiene una escritura fuera de límites al copiar el número final. Un adversario puede atacar el proceso ntpq de un cliente, pero no puede atacar ntpd.
CVE-2023-26553 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 5,6; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).
3.2.3 ESCRITURA FUERA DE LÍMITES CWE-787
mstolfp en libntp/mstolfp.c en NTP 4.2.8p15 tiene una escritura fuera de límites al agregar un carácter ‘\0’. Un adversario puede atacar el proceso ntpq de un cliente, pero no puede atacar ntpd.
CVE-2023-26554 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 5,6; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).
3.3 ANTECEDENTES
- SECTORES DE INFRAESTRUCTURA CRÍTICA: Fabricación crítica
- PAÍSES/ÁREAS DESPLEGADAS: Mundial
- UBICACIÓN DE LA SEDE DE LA EMPRESA: Alemania
3.4 INVESTIGADOR
Siemens informó estas vulnerabilidades a CISA.
4. MITIGACIONES
Siemens recomienda a los usuarios actualizar a la última versión:
- SITOP UPS1600 10 A Ethernet/PROFINET (6EP4134-3AB00-2AY0): Actualización a V2.5.4 o versión posterior
- SITOP UPS1600 20 A Ethernet/PROFINET (6EP4136-3AB00-2AY0): Actualización a V2.5.4 o versión posterior
- SITOP UPS1600 40 A Ethernet/PROFINET (6EP4137-3AB00-2AY0): Actualización a V2.5.4 o versión posterior
- SITOP UPS1600 EX 20 A Ethernet PROFINET (6EP4136-3AC00-2AY0): Actualización a V2.5.4 o versión posterior
Como medida de seguridad general, Siemens recomienda proteger el acceso a la red de los dispositivos con mecanismos adecuados. Para operar los dispositivos en un entorno de TI protegido, Siemens recomienda configurar el entorno de acuerdo con Directrices operativas de Siemens para la seguridad industrial y siguiendo las recomendaciones de los manuales del producto.
Encontrará más información sobre seguridad industrial de Siemens en la página Página web de seguridad industrial de Siemens
Para obtener más información, consulte el aviso de seguridad de Siemens asociado SSA-SSA-238730 en HTML y CSAF.
CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:
- Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que estén no accesible desde internet.
- Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
- Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que la VPN es tan segura como los dispositivos conectados.
CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.
CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.
Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.
Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.
Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades. Estas vulnerabilidades tienen una alta complejidad de ataque.
5. ACTUALIZAR HISTORIAL
- 13 de junio de 2024: Publicación inicial