Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Siemens corrige vulnerabilidad Heartbleed en sistema SCADA
Siemens liberó una actualización de seguridad para hacer frente a la vulnerabilidad Heartbleed en su arquitectura abierta SIMATIC WinCC, un control de supervisión y adquisición de datos (SCADA por sus siglas en inglés) que se utiliza en un gran número de industrias para operar procesos, máquinas y flujos de producción.
Heartbleed es una falla de seguridad crítica descubierta a principios de este mes en la biblioteca OpenSSL, la implementación más popular de ésta es en los protocolos TLS (Transport Layer Security) y SSL (Secure Sockets Layer).La vulnerabilidad puede ser explotada para extraer contraseñas, claves de cifrado y otra información potencialmente confidencial de la memoria de los servidores TLS y de los clientes que se basan en OpenSSL para el cifrado de las comunicaciones. Si bien la mayor parte de la discusión en torno a la vulnerabilidad se ha centrado en cómo impacta a los servidores web, la falla afecta también a aplicaciones de escritorio, móviles, sistemas embebidos como routers, dispositivos de hardware y sistemas de control industrial, incluidos los potencialmente utilizados en la infraestructura crítica.
Siemens actualizó su aviso de seguridad sobre Heartbleed el viernes 25 de abril para anunciar la disponibilidad de WinCC OA en su versión 3.12-P006, la cual corrige la falla de WinCC OA 3.12, la única versión afectada del producto de acuerdo con la empresa.
Sin embargo, Heartbleed afecta también a otros productos de Siemens: eLAN en versiones anteriores a la 8.3.3, cuando es utilizado RIP (Routing Information Protocol); S7-1500 versión 1.5 cuando HTTPS está activado; CP1543-1 versión 1.1 cuando FTPS está activado y APE 2.0 cuando el componente SSL/TLS es utilizado en implementaciones de los clientes.
Los clientes de eLAN pueden resolver el problema de seguridad mediante la actualización a la versión 8.3.3, pero el resto de los productos afectados aún no han recibido los parches. Mientras tanto, Siemens sugiere varias medidas de mitigación en su aviso de seguridad las cuales involucran deshabilitar o restringir el acceso al servidor web en el S7-1500 y deshabilitar o restringir el acceso a FTPS en CP1543-1.
Los clientes de APE 2.0 pueden actualizar OpenSSL a la versión 1.0.1g, siguiendo las instrucciones de un aviso publicado en el sitio web RuggedCom. RuggedCom es una filial de Siemens y el fabricante original del producto.
