Introducción
Se ha identificado una vulnerabilidad de severidad crítica en algunos de los dispositivos de Siemens como pueden ser COSMOS y NX, que de ser explotadas podrían permitir a un atacante realizar un ataque del tipo Man-In-The-Middle.[1]
Análisis
La vulnerabilidad crítica encontrada es la siguiente:
- CVE-2025-40800– Validación incorrecta de certificados (CWE-295):
Al cliente IAM de los productos afectados le falta la comprobación de certificados cuando se establece la conexión TLS con el servidor de autenticación. Esto podría dar acceso a un atacante para hacer un Man-In-The-Middle.
Los siguientes productos están afectados:
- COMOS V10.6: Todas las versiones
- NX V2412: Todas las versiones anteriores a 2412.8700
- NX V2506: Todas las versiones anteriores a 2506.6000
- Simcenter 3D: Todas las versiones anteriores a 2506.6000
- Simcenter Femap: Todas las versiones anteriores a 2506.0002
- Solid Edge SE2025: Todas las versiones anteriores a V225.0 Update 10
- Solid Edge SE2026: Todas las versiones anteriores a V226.0 Update 1
Recomendaciones
Se han identificado las siguientes actualizaciones que pueden ayudar a reducir el riesgo:
- COMOS V10.6: No se ha encontrado ninguna actualización.
- NX V2412: Actualizar a la versión V225.0 Update 10 o posterior
- NX V2506: Actualizar a la versión V226.0 Update 1 o posterior
- Simcenter 3D: Actualizar a la versión V2412.8700 o posterior
- Simcenter Femap: Actualizar a la versión V2506.0002 o posterior
- Solid Edge SE2025: Actualizar a la versión V2506.6000 o posterior
- Solid Edge SE2026: Actualizar a la versión V2506.6000 o posterior
Referencias
[1] ICSA-25-345-04 Siemens IAM Client