1

Siemens corrige falla de Heartbleed en sistemas SCADA

Siemens también estuvo afectado por Heartbleed.
Siemens también estuvo afectado por Heartbleed.

Siemens lanzó una actualización de seguridad para resolver la vulnerabilidad de Heartbleed en SIMATIC WinCC Open Architecture, un sistema de  control de supervisión y adquisición de data (SCADA) que es usado en un gran número de industrias para operar procesos, máquinas y flujos de producción.

Heartbleed es una falla de seguridad descubierta a inicios de este mes en OpenSSL, la implementación más popular de los protocolos TLS y SSL.

La vulnerabilidad puede ser explotada para extraer contraseñas, claves de encriptación y otra información potencialmente sensitiva desde la memoria de servidores TLS y clientes que toman en consideración OpenSSL para comunicaciones encriptadas. Si bien la mayoría de la discusión alrededor de la vulnerabilidad se ha enfocado en cómo impacta los servidores web, la falla también afecta aplicaciones para escritorio y móviles, sistemas como routers y hardware y sistemas de control industrial.

Siemens actualizó su sitio de consejería en seguridad el viernes para anunciar la disponibilidad de la versión 3.13-P006 de WinCC OA que arregla la falla para WinCC OA 3.12, la única versión afectada del producto según la compañía.

Sin embargo, Heartbleed también afecta otros productos de Siemens: versiones anteriores a la 8.3.3 de eLAN cuando se usa RIP, S7-15000 V1.5 cuando HTTPS está activo, CP1543-1 V1.1 cuando FTPS está activo y APE 2.0 cuando el componente SSL/TLS es usado en implementaciones del cliente.

Los clientes de ELAN pueden resolver el problema de seguridad al actualizar a la versión 8.3.3 pero otros productos afectados aún deben recibir parches. Mientras tanto, Siemens sugiere varias mitigaciones en su sitio de seguridad que tienen relación con deshabilitar o restablecer acceso al servidor web en S7-15000 y hacer lo mismo con el FTPS en el CP1543-1.

Los clientes de APE 2.0 pueden actualizar la instalación de OpenSSL a la versión 1.0.1g siguiendo las instrucciones en una página separada publicada en el sitio RuggedCom. RuggedCom es una subsidiaria de Siemens y el fabricante original del producto.

Fuente: CIO / Lucian Constantin / 29-04-2014

Conéctese a la actualidad tecnológica e informática cada mañana. ¡Suscríbase gratis a nuestro Newsletter!