Siemens SINEC INS
Compartir
Estás leyendo un resumen. El contenido completo está en cisa.gov.
Ver Resumen CSAF SINEC INS antes de la actualización V1.0 SP2. La actualización 6 se ve afectada por múltiples vulnerabilidades. Siemens ha lanzado una nueva versión para SINEC INS y recomienda actualizar a la última versión. Las siguientes versiones de Siemens SINEC INS están afectadas: SINEC INS vers:intdot/<1.0.2.6 CVSS Vulnerabilidades de Equipos del Vendedor v3 8.8 Siemens Siemens SINEC INS Neutralización Incorrecta de Elementos Especiales utilizados en un Comando del SO ('Inyección de Comando del SO'), Recorrido de Ruta: '/dir/../filename', Ejecución con Privilegios Innecesarios, Uso de un Hash Unidireccional con una Sal Predecible Antecedentes Sectores Críticos de Infraestructura: Manufactura Crítica, Sistemas de Transporte, Energía, Salud y Salud Pública, Servicios Financieros, Servicios y Instalaciones del Gobierno Países/Áreas Desplegadas: Mundial Ubicación de la Sede de la Empresa: Alemania Vulnerabilidades Expandir Todo + CVE-2026-46746 La aplicación no sanitiza adecuadamente la entrada del usuario en el endpoint /api/sftp/uploadFiles, permitiendo la inyección de cargas útiles de comando de shell a través de nombres de directorio creados. Estas cargas útiles son almacenadas y ejecutadas cuando se recuperan listados de directorios. Esto podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario del servicio afectado (sinecins). Ver Detalles CVE Productos Afectados Siemens SINEC INS Vendedor: Siemens Versión del Producto: SINEC INS Estado del Producto: conocido_affected Remedios Solución del Vendedor Actualizar a V1.0 SP2 Update 6 o versión posterior https://support.industry.siemens.com/cs/ww/es/view/110002283/ CWE Relevante: CWE-78 Neutralización Incorrecta de Elementos Especiales utilizados en un Comando del SO ('Inyección de Comando del SO') Métricas CVSS Versión Puntaje Base Severidad Base Vector String 3.1 8.8 ALTO CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVE-2026-46747 La aplicación afectada no sanitiza adecuadamente la entrada de ruta en el endpoint `GET /api/sftp/uploadFiles` utilizado para listado de directorios. Esto permite el recorrido de ruta a través de entradas manipuladas, lo que habilita el acceso a ubicaciones no intencionadas del sistema de archivos. Ver Detalles CVE Productos Afectados Siemens SINEC INS Vendedor: Siemens Versión del Producto: SINEC INS Estado del Producto: conocido_affected Remedios Solución del Vendedor Actualizar a V1.0 SP2 Update 6 o versión posterior https://support.industry.siemens.com/cs/ww/es/view/110002283/ CWE Relevante: CWE-26 Recorrido de Ruta: '/dir/../filename' Métricas CVSS Versión Puntaje Base Severidad Base Vector String 3.1 4.3 MEDIO CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVE-2026-46748 El sistema afectado incluye un binario que está configurado con la capacidad cap_dac_override. Esta capacidad permite al proceso eludir los controles de permiso del sistema de archivos, resultando en un acceso ilimitado al sistema de archivos. Esto podría permitir a un atacante local escalar privilegios, lo que lleva a la modificación arbitraria de archivos y a obtener privilegios de root en el sistema. Ver Detalles CVE Productos Afectados Siemens SINEC INS Vendedor: Siemens Versión del Producto: SINEC INS Estado del Producto: conocido_affected Remedios Solución del Vendedor Actualizar a V1.0 SP2 Update 6 o versión posterior https://support.industry.siemens.com/cs/ww/es/view/110002283/ CWE Relevante: CWE-250 Ejecución con Privilegios Innecesarios Métricas CVSS Versión Puntaje Base Severidad Base Vector String 3.1 8.8 ALTO CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVE-2026-46749 La aplicación afectada utiliza una implementación de hash de contraseña con una sal estática y codificada, compartida entre todos los usuarios e instalaciones, y está configurada con un número insuficiente de iteraciones. Esto podría permitir a un atacante recuperar eficientemente las contraseñas de los usuarios utilizando ataques de fuerza bruta o precomputados, resultando potencialmente en acceso no autorizado. Ver Detalles CVE Productos Afectados Siemens SINEC INS Vendedor: Siemens Versión del Producto: SINEC INS Estado del Producto: conocido_affected Remedios Solución del Vendedor Actualizar a V1.0 SP2 Update 6 o versión posterior https://support.industry.siemens.com/cs/ww/es/view/110002283/ CWE Relevante: CWE-760 Uso de un Hash Unidireccional con una Sal Predecible Métricas CVSS Versión Puntaje Base Severidad Base Vector String 3.1 7.5 ALTO CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H Agradecimientos Siemens ProductCERT reportó estas vulnerabilidades a CISA. Recomendaciones Generales Como medida de seguridad general, Siemens recomienda encarecidamente proteger el acceso a la red de los dispositivos con mecanismos apropiados. Para operar los dispositivos en un entorno IT protegido, Siemens recomienda configurar el entorno de acuerdo con las pautas operativas de Siemens para Seguridad Industrial (Descarga: https://www.siemens.com/cert/pautas-operativas-seguridad-industrial) y seguir las recomendaciones en los manuales del producto. Más información sobre Seguridad Industrial de Siemens se puede encontrar en: https://www.siemens.com/seguridadindustrial Recursos Adicionales Para consultas adicionales sobre vulnerabilidades de seguridad en productos y soluciones de Siemens, comuníquese con Siemens ProductCERT: https://www.siemens.com/cert/advisories Términos de Uso El uso de los Avisos de Seguridad de Siemens está sujeto a los términos y condiciones listados en: https://www.siemens.com/productcert/términos-de-uso. Aviso Legal y Términos de Uso Este producto se proporciona sujeto a esta Notificación (https://www.cisa.gov/notificación) y esta política de Privacidad y Uso (https://www.cisa.gov/política-de-privacidad). Prácticas Recomendadas CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad. Minimizar la exposición de red para todos los dispositivos y/o sistemas de control y asegurarse de que no sean accesibles desde Internet. Ubicar redes de sistemas de control y dispositivos remotos detrás de firewalls y aislarlos de las redes empresariales. Cuando se requiera acceso remoto, utilizar métodos más seguros, como Redes Privadas Virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconocer que la VPN es tan segura como sus dispositivos conectados. CISA recuerda a las organizaciones realizar un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas. CISA también proporciona una sección sobre prácticas recomendadas de seguridad para sistemas de control en la página web de ICS en cisa.gov. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluyendo la Mejora de la Ciberseguridad de los Sistemas de Control Industrial con Estrategias de Defensa en Profundidad. CISA anima a las organizaciones a implementar estrategias de ciberseguridad recomendadas para la defensa proactiva de los activos de ICS. Orientación adicional de mitigación y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov en el documento de información técnica, ICS-TIP-12-146-01B--Estrategias de Detección y Mitigación de Intrusiones Cibernéticas Dirigidas. Las organizaciones que observan actividad sospechosa maliciosa deben seguir los procedimientos internos establecidos y reportar hallazgos a CISA para seguimiento y correlación con otros incidentes. Descargo de Responsabilidad sobre la Conversión del Aviso Este ICSA es una republicación verídica del aviso SSA-860189 de Siemens ProductCERT a partir de una conversión directa del aviso del Marco Común de Avisos de Seguridad (CSAF) del vendedor. Esto se repubica en el sitio web de CISA como un medio para aumentar la visibilidad y se proporciona "tal cual" solo con fines informativos. CISA no es responsable de la precisión editorial o técnica de los avisos republicados y no ofrece garantías de ningún tipo sobre la información contenida en este aviso. Además, CISA no respalda ningún producto o servicio comercial. Comuníquese directamente con Siemens ProductCERT para cualquier pregunta relacionada con este aviso. Historial de Revisión Fecha de Publicación Inicial: 2026-06-09 Resumen de la Revisión 2026-06-09 1 Fecha de Publicación 2026-06-23 2 Primera Republicación de CISA del aviso SSA-860189 de Siemens ProductCERT.
Enlace externo a cisa.gov
Artículos relacionados
cybersecurity
El ransomware JadePuffer utilizó un agente de IA para automatizar todo el ataque.
cybersecurity
Entidad del gobierno de EE. UU. pagó a Kairos 1 millón de dólares en caso de extorsión por robo de datos.
cybersecurity
