Global Preloader
Vulnerabilidad
(01/Oct/2017) Siemens corrige vulnerabilidad en Protocolo Ruggedcom

Siemens corrige vulnerabilidad en Protocolo Ruggedcom

El fabricante industrial Siemens está animando a los usuarios que estén ejecutando dispositivos que utilicen su Ruggedcom Discovery Protocol (RCDP) a aplicar actualizaciones de firmware esta semana. Las actualizaciones resuelven una vulnerabilidad seria y remotamente explotable que podría permitir a un atacante llevar a cabo acciones administrativas.

El problema, una vulnerabilidad de control de acceso inadecuada, podría permitir a los usuarios de redes adyacentes a dispositivos objetivos realizar acciones administrativas no autorizadas, según un aviso hecho público por ICS-CERT, el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial.

Técnicamente, la vulnerabilidad, que califica como un 8.8 en el sistema CVSS v3.0, permite a los usuarios escribir en el dispositivo, algo que no debería ser posible. La vulnerabilidad afecta a dispositivos como conmutadores RUGGEDCOM y dispositivos serie a Ethernet, junto con conmutadores SCALANCE X. Los dispositivos suelen encontrarse en las subestaciones eléctricas y, a menudo, pueden usarse para conectar controladores lógicos programables (PLC) o interfaces de máquina humana (HMI).

Específicamente, el problema afecta a los siguientes dispositivos que utilizan Ruggedcom:

  • RUGGEDCOM ROS para dispositivos RSL910: Todas las versiones anteriores a ROS v5.0.1
  • RUGGEDCOM ROS para todos los demás dispositivos: Todas las versiones anteriores a ROS v4.3.4
  • SCALANCE XB-200 / XC-200 / XP-200 / XR300-WG: Todas las versiones más recientes que v3.0
  • SCALANCE XR-500 / XM-400: Todas las versiones más recientes que v6.1

Siemens lanzó actualizaciones para productos que ejecutan Ruggedcom ROS esta semana, pero todavía está preparando actualizaciones para los dispositivos Scalance. Los usuarios que ejecutan Ruggedcom ROS pueden actualizar a las versiones 4.3.4, 5.0.1 y Explorer 1.5.2 para solucionar la vulnerabilidad de forma gratuita.