Gestor de datos Siemens SENTRON 7KT PAC1260

Vulnerabilidades de seguridad en productos Siemens, como el Gestor de Datos SENTRON 7KT PAC1260, pueden permitir a atacantes remotos ejecutar código arbitrario o acceder a archivos. Siemens recomienda actualizaciones y medidas de seguridad adicionales. CISA ofrece recomendaciones para mitigar riesgo

10 abr 2025 • 3 min read • Q2BSTUDIO Team

Inteligencia-Artificial-

Desde el 10 de enero de 2023, CISA dejará de actualizar avisos de seguridad de ICS para vulnerabilidades de productos Siemens más allá del aviso inicial. Para obtener la información más actualizada sobre vulnerabilidades en este aviso, consulte los Advertencias de Seguridad del ProductoCERT de Siemens (Servicios de CERT | Servicios | Siemens Global).

Ver CSAF

CVSS v4 10.0

ATENCIÓN: Explotable de forma remota/baja complejidad de ataque

Fabricante: Siemens

Equipo: Gestor de Datos SENTRON 7KT PAC1260

Vulnerabilidades: Neutralización incorrecta de elementos especiales utilizados en un comando de SO ('Inyección de Comandos de SO'), Falta de Autenticación para Función Crítica, Limitación Incorrecta de un Nombre de Ruta a un Directorio Restringido ('Travesía de Ruta'), Uso de Credenciales Codificadas, Falsificación de Solicitudes entre Sitios (CSRF), Cambio de Contraseña no Verificado

La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto autenticado ejecutar código arbitrario con privilegios de root o permitir a un atacante remoto no autenticado leer o borrar los archivos de registro en el dispositivo, restablecer el dispositivo, configurar la fecha y hora, acceder a archivos arbitrarios en el dispositivo con privilegios de root o habilitar el acceso remoto al dispositivo.

Siemens recomienda a los usuarios reemplazar los dispositivos vulnerables con el nuevo Gestor de Datos SENTRON 7KT PAC1261 y actualizarlo a la última versión de firmware disponible.

Siemens ha identificado los siguientes trucos específicos y mitigaciones que los usuarios pueden aplicar para reducir el riesgo:

  • (CVE-2024-41795, CVE-2024-41796) Gestor de Datos SENTRON 7KT PAC1260: No acceda a enlaces de fuentes no confiables mientras esté conectado en los dispositivos afectados.

Como medida de seguridad general, Siemens recomienda proteger el acceso a la red a los dispositivos con mecanismos adecuados. Para operar los dispositivos en un entorno IT protegido, Siemens recomienda configurar el entorno según las directrices operativas de seguridad industrial de Siemens y seguir las recomendaciones en los manuales de productos.

La información adicional sobre seguridad industrial de Siemens se puede encontrar en la página web de seguridad industrial de Siemens

Para obtener más información, consulte el aviso de seguridad de Siemens SSA-187636 en HTML y CSAF.

CISA recomienda a los usuarios que tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades. CISA recuerda a las organizaciones que realicen un análisis de impacto y evaluación de riesgos adecuados antes de implementar medidas defensivas.

CISA también proporciona una sección para las prácticas recomendadas de seguridad de sistemas de control en la página web de ICS en cisa.gov. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluido Mejorar la Ciberseguridad de los Sistemas de Control Industrial con Estrategias de Defensa en Profundidad.

CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para una defensa proactiva de activos de ICS.

La orientación adicional sobre mitigación y prácticas recomendadas está disponible públicamente en la página web de ICS en cisa.gov en el informe de información técnica, ICS-TIP-12-146-01B--Estrategias de Detección y Mitigación de Intrusiones Cibernéticas Dirigidas.

Las organizaciones que observen actividad maliciosa sospechosa deben seguir procedimientos internos establecidos y reportar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.

CISA también recomienda a los usuarios tomar las siguientes medidas para protegerse de los ataques de ingeniería social:

No se ha informado de ninguna explotación pública conocida que apunte específicamente a estas vulnerabilidades a CISA en este momento.

10 de abril de 2025: Republicación Inicial de Siemens SSA-187636

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat