Un reporte de seguridad de Siemens revela que algunas de sus soluciones Digital Industries Software para el desarrollo de productos presentan más de 20 vulnerabilidades que podrían ser explotadas para la ejecución de código arbitrario a través del envío de archivos maliciosos. Estas fallas fueron reportadas a través de The Zero Day Initiative (ZDI) y de la Agencia de Ciberseguridad y Seguridad de Infraestructura de E.U. (CISA).
El aviso menciona que las soluciones afectadas son Siemens JT2Go, una herramienta para la visualización 3D, y Teamcenter Visualization, para visualizar documentos, diseños 2D y modelos 3D. En un segundo aviso, la compañía reveló seis vulnerabilidades en Siemens Solid Edge, un conjunto de herramientas de software de diseño y visualización 3D.
La gran mayoría de los reportes se refieren a fallas de alta severidad que pueden llevar a la ejecución de código arbitrario en los procesos de las soluciones vulnerables. Acorde a CISA, estas vulnerabilidades están relacionadas con la validación incorrecta de los datos proporcionados por el usuario al analizar formatos de archivos determinados; para completar un ataque, los actores de amenazas deberán engañar al usuario objetivo para que abra un archivo especialmente diseñado. Los hackers podrían activar esta falla usando formatos como JT, CG4, CGM, PDF, RGB, TGA, PAR, ASM, PCX, SGI y DFT.
Después de recibir el reporte, Siemens comenzó a trabajar en las correcciones necesarias y a publicar soluciones alternativas para las fallas que no han sido corregidas hasta este momento. Finalmente, Siemens publicó un aviso separado que describía algunas vulnerabilidades en SCALANCE X. Estas fallas, consideradas como críticas, podrían desencadenar ataques Man-in-The-Middle (MiTM) y condiciones de denegación de servicio (DoS).
Fallas similares en Schneider Electric
CISA también se refirió al hallazgo de al menos tres vulnerabilidades en productos de Schneider Electric, incluyendo una falla en su interfaz de comunicación Sepam ACE850, en las soluciones Operator Terminal Expert y Pro-face BLUE. Acorde a la Agencia, estas fallas permitirían la ejecución de código arbitrario en los sistemas vulnerables al procesar archivos SSD especialmente diseñados.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
