cybersecurity

Siemens WinCC Certificate Manager

Fuente: cisa.gov 5 min de lectura

Compartir

Siemens WinCC Certificate Manager

Estás leyendo un resumen. El contenido completo está en cisa.gov.

Ver resumen de CSAF El Gestor de Certificados WinCC de Siemens protege insuficientemente el material clave que podría permitir a un atacante extraer información sensible. Siemens ha lanzado una nueva versión para SIMATIC WinCC Unified PC Runtime V21 y recomienda actualizar a la última versión. Siemens recomienda medidas específicas para productos donde las soluciones no están, o aún no están disponibles. Las siguientes versiones del Gestor de Certificados WinCC de Siemens se ven afectadas: SIMATIC WinCC Unified PC Runtime V16 vers:todo/* SIMATIC WinCC Unified PC Runtime V17 vers:todo/* SIMATIC WinCC Unified PC Runtime V18 vers:todo/* SIMATIC WinCC Unified PC Runtime V19 vers:todo/* SIMATIC WinCC Unified PC Runtime V20 vers:todo/* SIMATIC WinCC Unified PC Runtime V21 vers:intdot/<21.0.2 CVSS Vulnerabilidades del Equipo del Proveedor v3 7.1 Siemens Siemens Gestor de Certificados WinCC Almacenamiento en texto claro en un archivo o en disco Antecedentes Sectores de Infraestructura Crítica: Manufactura Crítica, Sistemas de Transporte, Energía, Atención Médica y Salud Pública, Servicios Financieros, Servicios y Instalaciones del Gobierno Países/Áreas Desplegadas: Mundial Ubicación de la Sede de la Empresa: Alemania Vulnerabilidades Expandir Todo + CVE-2026-24349 Protección insuficiente del material clave en el Gestor de Certificados WinCC que podría permitir a un atacante extraer información sensible. Ver detalles de CVE Productos Afectados Gestor de Certificados WinCC de Siemens Proveedor: Siemens Versión del Producto: SIMATIC WinCC Unified PC Runtime V16, SIMATIC WinCC Unified PC Runtime V17, SIMATIC WinCC Unified PC Runtime V18, SIMATIC WinCC Unified PC Runtime V19, SIMATIC WinCC Unified PC Runtime V20, SIMATIC WinCC Unified PC Runtime V21 Estado del Producto: conocido_afectado Remediaciones Mitigación El producto afectado solo puede ser operado por personal cualificado para la tarea específica de acuerdo con la documentación relevante, en particular sus advertencias y directrices de seguridad. El personal cualificado es aquel que, basándose en su formación y experiencia, es capaz de identificar riesgos y evitar peligros potenciales al trabajar con el producto afectado. No hay solución planificada Actualmente no hay solución planificada Solución del proveedor Actualizar a V21 Actualizar a la versión 2 o posterior https://support.industry.siemens.com/cs/ww/en/view/109991140/ CWE relevante: CWE-313 Almacenamiento en texto claro en un archivo o en disco Métricas CVSS Versión Puntuación Base Severidad Base Vector String 3.1 7.1 ALTO CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N Reconocimientos Siemens ProductCERT informó esta vulnerabilidad a CISA. Recomendaciones Generales Como una medida de seguridad general, Siemens recomienda encarecidamente proteger el acceso a la red de dispositivos con mecanismos apropiados. Para operar los dispositivos en un entorno de TI protegido, Siemens recomienda configurar el entorno de acuerdo con las directrices operativas de Siemens para la Seguridad Industrial (Descarga: https://www.siemens.com/cert/operational-guidelines-industrial-security), y seguir las recomendaciones en los manuales de producto. Se puede encontrar información adicional sobre Seguridad Industrial de Siemens en: https://www.siemens.com/industrialsecurity Recursos Adicionales Para más consultas sobre vulnerabilidades de seguridad en productos y soluciones de Siemens, comuníquese con Siemens ProductCERT: https://www.siemens.com/cert/advisories Términos de Uso El uso de los Avisos de Seguridad de Siemens está sujeto a los términos y condiciones enumerados en: https://www.siemens.com/productcert/terms-of-use. Aviso Legal y Términos de Uso Este producto se proporciona sujeto a esta Notificación (https://www.cisa.gov/notification) y esta política de Privacidad & Uso (https://www.cisa.gov/privacy-policy). Prácticas Recomendadas CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades. Minimizar la exposición de red para todos los dispositivos y/o sistemas de control, y asegurar que no sean accesibles desde internet. Localizar las redes de sistemas de control y dispositivos remotos detrás de firewalls y aislándolos de redes empresariales. Cuando se requiera acceso remoto, utilizar métodos más seguros, como Redes Privadas Virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconocer que una VPN es tan segura como sus dispositivos conectados. CISA recuerda a las organizaciones que realicen un análisis de impacto adecuado y una evaluación de riesgos antes de desplegar medidas defensivas. CISA también proporciona una sección sobre prácticas recomendadas de seguridad para sistemas de control en la página web de ICS en cisa.gov. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluyendo Mejora de la Ciberseguridad de Sistemas de Control Industrial con Estrategias de Defensa por Profundidad. CISA alienta a las organizaciones a implementar estrategias recomendadas de ciberseguridad para la defensa proactiva de los activos ICS. Orientación de mitigación adicional y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov en el documento técnico, ICS-TIP-12-146-01B--Estrategias de Detección y Mitigación de Intrusiones Cibernéticas Dirigidas. Las organizaciones que observen actividad maliciosa sospechosa deben seguir los procedimientos internos establecidos y reportar hallazgos a CISA para seguimiento y correlación con otros incidentes. Exención de Conversión de Aviso Este ICSA es una republicación veraz del aviso SSA-063511 de Siemens ProductCERT a partir de una conversión directa del aviso del Marco Común de Avisos de Seguridad (CSAF) del proveedor. Esto se republica en el sitio web de CISA como un medio para aumentar la visibilidad y se proporciona "tal cual" solo con fines informativos. CISA no es responsable de la precisión editorial o técnica de los avisos republicados y no ofrece garantías de ningún tipo respecto a la información contenida en este aviso. Además, CISA no respalda ningún producto o servicio comercial. Comuníquese directamente con Siemens ProductCERT para cualquier consulta relacionada con este aviso. Historial de Revisiones Fecha de Lanzamiento Inicial: 2026-06-09 Resumen de la Revisión 2026-06-09 1 Fecha de Publicación 2026-06-23 2 Republicación Inicial de CISA del aviso SSA-063511 de Siemens ProductCERT Aviso Legal y Términos de Uso

Artículos relacionados