Plataforma
siemens
Componente
siemens-software-center
Corrigido em
3.5.8.2
Uma vulnerabilidade foi identificada em diversos produtos Siemens, incluindo Siemens Software Center, Simcenter 3D, Simcenter Femap, Simcenter STAR-CCM+, Solid Edge e Tecnomatix Plant Simulation. Esta falha reside na validação inadequada de certificados de cliente ao se conectar ao endpoint do Analytics Service, possibilitando que um atacante remoto não autenticado realize ataques de Man-in-the-Middle. As versões afetadas são aquelas anteriores a V3.5.8.2 para Software Center, V2506.6000 para Simcenter 3D, V2506.0002 para Simcenter Femap, V2602 para STAR-CCM+, V225.0 Update 13 para Solid Edge SE2025, V226.0 Update 04 para Solid Edge SE2026 e V2504.0008 para Tecnomatix Plant Simulation. Uma correção está disponível na versão V2602.
Uma vulnerabilidade de segurança (CVE-2025-40745) foi identificada em vários produtos da Siemens, incluindo Software Center, Simcenter 3D, Simcenter Femap, Simcenter STAR-CCM+, Solid Edge SE2025 e SE2026, e Tecnomatix Plant Simulation. Essa vulnerabilidade reside na falta de validação adequada dos certificados de cliente ao se conectar ao endpoint do serviço de análise. Um atacante pode explorar essa deficiência para realizar ataques de falsificação de identidade, potencialmente acessando dados confidenciais ou executando ações não autorizadas dentro do sistema. A severidade da vulnerabilidade depende do contexto de uso e da sensibilidade dos dados processados pelas aplicações afetadas. É crucial atualizar para as versões corrigidas para mitigar esse risco.
Um atacante com acesso à rede onde as aplicações operam pode tentar se conectar ao serviço de análise usando um certificado de cliente malicioso ou falsificado. Devido à falta de validação adequada, o serviço pode aceitar a conexão e autenticar o atacante, permitindo que ele acesse recursos protegidos. O sucesso da exploração depende da capacidade do atacante de obter ou criar um certificado de cliente válido que possa enganar o sistema. A complexidade deste ataque varia dependendo da configuração da rede e das medidas de segurança existentes.
Organizations utilizing Siemens Software Center, Simcenter, Solid Edge, or Tecnomatix in environments where the Analytics Service endpoint is accessible over untrusted networks are at risk. This includes engineering firms, manufacturing plants, and research institutions relying on these software solutions for product development and simulation.
• windows / supply-chain:
Get-Process -Name "Siemens Software Center*" | Select-Object ProcessName, CommandLine• linux / server:
ps aux | grep "Siemens Software Center"• generic web:
curl -I <analytics_service_endpoint>disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A solução para essa vulnerabilidade é atualizar os produtos afetados para as versões corrigidas: Software Center (V3.5.8.2 ou superior), Simcenter 3D (V2506.6000 ou superior), Simcenter Femap (V2506.0002 ou superior), Simcenter STAR-CCM+ (V2602 ou superior), Solid Edge SE2025 (V225.0 Update 13 ou superior), Solid Edge SE2026 (V226.0 Update 04 ou superior), e Tecnomatix Plant Simulation (V2504.0008 ou superior). Recomendamos aplicar essas atualizações o mais breve possível. Além disso, revise as políticas de segurança da sua rede e certifique-se de que os controles de acesso estejam configurados corretamente para limitar o impacto potencial de uma exploração bem-sucedida. Consulte a documentação da Siemens para obter instruções detalhadas sobre como aplicar as atualizações.
Atualize o Siemens Software Center para a versão 3.5.8.2 ou posterior para mitigar a vulnerabilidade. Esta atualização aborda a validação incorreta de certificados de cliente, prevenindo possíveis ataques de intermediário.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões afetadas são: Software Center (< V3.5.8.2), Simcenter 3D (< V2506.6000), Simcenter Femap (< V2506.0002), Simcenter STAR-CCM+ (< V2602), Solid Edge SE2025 (< V225.0 Update 13), Solid Edge SE2026 (< V226.0 Update 04), Tecnomatix Plant Simulation (< V2504.0008).
A versão do produto pode ser encontrada no menu 'Sobre' dentro do aplicativo. Geralmente está localizado no menu 'Ajuda' ou 'Opções'.
Se não for possível atualizar imediatamente, recomendamos revisar e fortalecer as políticas de segurança da rede para limitar o acesso ao serviço de análise.
Você pode encontrar mais informações no site de Segurança da Siemens: [Insert Siemens Security Advisory Link Here]
Isole imediatamente o sistema afetado da rede, notifique a equipe de segurança da sua organização e siga as recomendações da Siemens para a resposta a incidentes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.