Múltiplas vulnerabilidades foram identificadas em produtos **Siemens** SICAM 8 que poderiam levar à negação de serviço. A **Siemens** lançou novas versões para os produtos afetados e recomenda a atualização para as versões mais recentes. ### Produtos Afetados As seguintes versões de produtos **Siemens** SICAM 8 são afetadas: * CPCI85 Central Processing/Communication versões < 26.10 (**CVE-2026-27663**, **CVE-2026-27664**) * RTUM85 RTU Base versões < 26.10 (**CVE-2026-27663**) * SICORE Base system versões < 26.10.0 (**CVE-2026-27664**) <div> <table data-tablesaw-minimap="" data-tablesaw-mode="stack"> <thead> <tr> <th data-tablesaw-priority="persist" role="columnheader">CVSS</th> <th role="columnheader">Fabricante</th> <th role="columnheader">Equipamento</th> <th role="columnheader">Vulnerabilidades</th> </tr> </thead> <tbody> <tr> <td>v3 7.5</td> <td>Siemens</td> <td>Produtos Siemens SICAM 8</td> <td>Alocação de Recursos Sem Limites ou Limitação, Escrita Fora dos Limites</td> </tr> </tbody> </table> </div> ### Contexto * **Setores de Infraestrutura Crítica:** Manufatura Crítica * **Países/Áreas Implantadas:** Mundialmente * **Localização da Sede da Empresa:** Alemanha --- ### Vulnerabilidades #### **CVE-2026-27663**: DoS por Esgotamento de Recursos Esta vulnerabilidade decorre da falta de gerenciamento de recursos. O modo de operação remota é suscetível a uma condição de esgotamento de recursos quando submetido a um alto volume de requisições. O envio de múltiplas requisições pode esgotar os recursos, impedindo a parametrização e exigindo um reset ou reboot para restaurar a funcionalidade. [Ver Detalhes da CVE](https://www.cve.org/CVERecord?id=CVE-2026-27663) ##### Produtos Afetados: **Produtos Siemens SICAM 8** * **Fabricante:** Siemens * **Versão do Produto:** CPCI85 Central Processing/Communication, RTUM85 RTU Base * **Status do Produto:** known_affected **CWE Relevante:** [CWE-770 Alocação de Recursos Sem Limites ou Limitação](https://cwe.mitre.org/data/definitions/770.html) --- #### **CVE-2026-27664**: DoS por Escrita Fora dos Limites Uma vulnerabilidade de escrita fora dos limites existe durante o parsing de entradas XML especialmente criadas. Um atacante não autenticado poderia explorar essa falha enviando uma requisição XML maliciosa, potencialmente causando a falha do serviço, resultando em uma condição de negação de serviço. [Ver Detalhes da CVE](https://www.cve.org/CVERecord?id=CVE-2026-27664) ##### Produtos Afetados: **Produtos Siemens SICAM 8** * **Fabricante:** Siemens * **Versão do Produto:** CPCI85 Central Processing/Communication, SICORE Base system * **Status do Produto:** known_affected **CWE Relevante:** [CWE-787 Escrita Fora dos Limites](https://cwe.mitre.org/data/definitions/787.html) --- ### Recomendações A **Siemens** recomenda fortemente a aplicação das atualizações de segurança fornecidas, utilizando as ferramentas correspondentes e os procedimentos documentados disponibilizados com o produto. É aconselhável configurar o ambiente de acordo com as diretrizes operacionais para executar os dispositivos em um ambiente de TI protegido. As diretrizes de segurança recomendadas podem ser encontradas em: <https://www.siemens.com/gridsecurity> A CISA recomenda que os usuários tomem medidas defensivas para minimizar o risco de exploração desta vulnerabilidade: * Minimize a exposição de rede para todos os dispositivos e/ou sistemas de controle e garanta que eles não sejam acessíveis pela internet. * Localize redes de sistemas de controle e dispositivos remotos atrás de firewalls e isole-os de redes corporativas. * Quando o acesso remoto for necessário, utilize métodos mais seguros, como Redes Privadas Virtuais (**VPNs**), reconhecendo que **VPNs** podem ter vulnerabilidades e devem ser atualizadas para a versão mais recente disponível. Reconheça também que **VPN** é tão segura quanto os dispositivos aos quais está conectada.