Bejelentés dátuma: 2025.12.30.
Gyártó: WHILL
Érintett rendszer(ek):
- Model C2 elektromos kerekesszék;
- Model F Power Chair;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-14346)/kritikus;
Javítás: Nincs, a DHS CISA kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-364-01

Bejelentés dátuma: 2025.12.31.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 6100-G2/6200-G2 sorozatú eszközök v1.0.0 firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2025-1977)/súlyos;
- Improper Null Termination (CVE-2025-2026)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.12.31.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort 5000AI-M12 sorozatú eszközök minden firmware-verziója;
- NPort 5100 sorozatú eszközök minden firmware-verziója;
- NPort 5100A sorozatú eszközök minden firmware-verziója;
- NPort 5200 sorozatú eszközök minden firmware-verziója;
- NPort 5200A sorozatú eszközök minden firmware-verziója;
- NPort 5400 sorozatú eszközök minden firmware-verziója;
- NPort 5600 sorozatú eszközök minden firmware-verziója;
- NPort 5600-DT sorozatú eszközök minden firmware-verziója;
- NPort IA5000 sorozatú eszközök minden firmware-verziója;
- NPort IA5000A sorozatú eszközök minden firmware-verziója;
- NPort IA5000-G2 sorozatú eszközök minden firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Active Debug Code (CVE-2025-15017)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2026.01.06.
Gyártó: Columbia Weather Systems
Érintett rendszer(ek):
- MicroServer minden firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Communication Channel to Intended Endpoints (CVE-2025-61939)/súlyos;
- Cleartext Storage in a File or on Disk (CVE-2025-64305)/közepes;
- Command Shell in Externally Accessible Directory (CVE-2025-66620)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-006-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A január 3-i, Venezuela elleni amerikai támadások után nem sokkal (még aznap este) megjelent az első olyan hír (Maggie Miller tollából) a Politico.com-on, amely szerint Trump elnök azt sejtette a szombati sajtótájékoztatón, hogy "kibertámadásokkal vagy más műszaki képességekkel" idéztek elő áramkimaradást Caracas-ban a katonai csapások idején.

Az elnöki kijelentésen kívül (ami meglehetősen homályosan lett megfogalmazva) jelenleg más bizonyíték nincs arra vonatkozóan, hogy valóban történt volna kibertámadás a Caracas-i vagy venezuelai villamosenergia-rendszer ellen - így aztán kénytelenek vagyunk szétválasztani, mi az, amit biztosan tudunk és mi az, amit (bizonyítékok hiányában) csak feltételezhetünk.

Amit tudunk:

1. Az amerikai fegyveres erők nagyjából minden fegyvernemének (hadsereg, haditengerészet, légierő) és a tengerészgyalogságnak is megvannak a saját kiberhadviselési egységei és képességei, nem is beszélve a kiterjedt amerikai hírszerzési szervezetekről (a lista elején rögtön ott az NSA és a CIA, de ugye jó hosszan lehetne még sorolni a különböző szerveket).

2. Az amerikai fegyveres erők nem csak a képességekkel rendelkeznek egy kibertérben végrehajtott támadáshoz, hanem a tervekkel is, hogy ilyen jellegű támadásokkal támogassanak egy kinetikus hadműveletet.

Amit viszont csak feltételezhetünk:

Ha történt ilyen támadás, mi lehetett a célja? Egyrészt egy kiterjedt (akár "csak" Caracas-ra korlátozott) áramkimaradás képes lehet jelentősen csökkenteni a támadó erőkre (legyenek azok akár a légitámadásokat végrehajtó repülőgépek vagy helikopterek, akár a Nicolas Maduro-ért induló Delta Force alakulat) veszélyt jelentő venezuelai alakulatok képességeit, másrészt ezt olyan módon tudják elérni, hogy később ne kelljen a szétlőtt/felrobbantott infrastruktúra-elemek (pl. villamosenergia-alállomások) újjáépítésével foglalkozni. Mivel Trump elnök nem sokkal később már "Venezuela irányításának átvételéről" is beszélt, ez is reális motiváció lehetett egy kibertámadással történő üzemzavar előidézésére.

Nem lehet szó nélkül elmenni az alig 3 hete történt kibertámadás mellett, ami a venezuelai állami olajtársaság, a PDVSA rendszereit érte. Bár akkor a venezuelai kormány állítása szerint a PDVSA folyamatirányító rendszereit nem érintette az incidens és azonnal az USA-t vádolták a támadásokkal (ami kb. annyira volt várható, mint amikor egy iráni létesítmény üzemzavaráért Teherán azonnal Izraelt és az USA-t vádolja mindennel, a kibertámadástól a kalózkodásig), Trump elnök mostani sejtetése ezt is más megvilágításba helyezheti.

Szintén nem lehetek biztos a következő feltételezéseimben, de tartok tőle, hogy ez az incidens (a fegyveres támadás és a feltételezhető kibertámadás) ugyanolyan mérföldköve lehet a kritikus infrastruktúrák elleni támadásoknak, mint amilyen a Stuxnet és a 2015-ös ukrán áramszolgáltatók elleni támadások voltak. Sajnos egyáltalán nem lennék meglepve, ha a közeljövő politikai és katonai konfliktusai során egy nyíltabbá válnának a kibertámadások is (amiket eddig minden, ebben érdekelt és ezért felelős kormány hivatalosan tagadott). A kritikus infrastruktúrák biztonsági helyzete tovább romlik és egyre kevésbé látom, hogy lehetne ilyen kaliberű támadásokkal szemben megvédeni őket - lehet, hogy nem marad más hátra, mint felkészülni a digitális folyamatirányító rendszerek elvesztésére és ilyen esetekben felkészülten visszatérni a manuális vezénylésre. Már ahol erre van lehetőség...

Update: a kérdőjel az ebben a cikkben írtak alapján feleslegessé vált, ezért ki is töröltem. Dan Caine tábornok, az USA vezérkari főnökei egyesített bizottságának vezetője egyértelműen megerősítette, hogy a Caracas-i villamosenergia-rendszer üzemzavarát kibertámadás idézte elő, amit az USA fegyveres erőihez tartozó egységek (Cyber Command, Space Command) katonái hajtottak végre, ezzel támogatva a Nicolas Maduro elfogására induló Delta Force operátorokat.

A mai poszt témája ismét egy régebbi (2016-os kiadású, vagyis leginkább valószínűleg 2015-ben írt, azaz bő 10 éves) könyv, amit Andrew Ginter, egy, a Waterfall Security-nél dolgozó (ennek még lesz jelentősége), kanadai szakember írt.

Az, hogy ez a könyv még az előző évtized közepén íródott, már a címből is látszik, akkoriban még sokan (én is) hajlamosak voltak az ipari (és egyéb szektorokban használt) folyamatautomatizálási megoldásokat csak per "SCADA rendszerek" gyűjtőnéven emlegetni, az ICS/OT kifejezés csak később terjedt el (magát az OT - Operational Technology kifejezést egyébként a Gartner hozta be a köztudatba, mintegy ellenpontozásaként az IT-nak).

Amellett, hogy a könyv kora miatt itt-ott már kicsit elavultnak tekinthető dolgokat is leír, egyértelmű (bár nem túl jelentős) hátránya, hogy a szerző munkahelyének egyik termékére hivatkozik, mint az ICS/OT rendszerek (hálózat)biztonságának egyik legjobb eszközét. Abban viszont kifejezetten hasznos a könyv, hogy jól ismerteti, hogyan is működnek a unidirectional gateway-ek.

A könyv tartalma (fejezetek szerint):

Forward

Acknowledgements

Chapter 1 - Introduction
Terminology

Chapter 2 - SCADA security
SCADA Systems
IT/OT Integration
Cyber Security
Three Laws of SCADA Security
Putting the Pieces Together
What's Wrong With This Picture?
Safety and Reliability
Summary
Recommended Reading

Chapter 3 - Cyber Attacks
Corporate Insiders
Organized Crime
SCADA Insiders
Hacktivists
Intelligence Agencies
Military-Grade
Transmitting Attacks
Summary
Recommended Reading

Chapter 4 - Failure of Defense in Depth
Corporate Insiders
Organized Crime
SCADA Insiders
Hacktivists
Intelligence Agencies
Military-Grade
Constant Compromisse
Summary
Recommended Reading

Chapter 5 - Preventing Intrusion
Top-Down Security
Intelligence Agencies
Hacktivists
SCADA Insiders
Organized Crime
Corporate Insiders
Secondary Measures
Summary
Recommended Reading

Chapter 6 - Unidirectional Gateways
Unidirectional Hardware
Server Replication and Device Enumeration
No Traffic Forwarding
Unidirectional Flip
Inbound/Outbound Gateways
Application Data Control
Using Unidirectional Gateways
Summary
Recommended Reading

Chapter 7 - Stuxnet Case Study
Security Technology Nonsense
Nothing is "Secure"
Firewall Advice and Other Nonsense
Stopping "The Next Stuxnet"
Summary
Recommended Reading

Chapter 8 - Security Programs
The NIST Framework
Maturity Models
Summary
Recommended Reading

Chapter 9 - Risk Management and Governance
Quantitative Assessment
Qualitative Assessment
Attack Modelling
Revisiting Expert Advice
Questions for Boards to Ask Executives
Summary
Recommended Reading

Chapter 10 - "Secure" Remote Access
Attacking "Secure" Remote Access
How Can This Be?
Unidirectional Remote Screen View
Emergency Bypass
Automated Remote Maintenance
Operations WAN
Reprogramming SCADA Systems From Our Cell Phones
Summary
Recommended Reading

Chapter 11 - Encryption
Authentication
Insecure By Design
Limitations of Encryption/Authentication
Debating Encryption
Primary vs Secondary Protections
Summary
Recommended Reading

Chapter 12 - The Industrial Internet of Things
The IIoT Vision
Militarily Strategic Targets
IIoT Networks
IIoT Network Perimeters
IIoT Physical Perimeter
IIoT Cloud Perimeters
Putting it All Together
Summary
Recommended Reading

Chapter 13 - Advanced Topics
Hardware Supply Chain
Software Supply Chain
Exotic Attacks
Shared Equipment Attacks
Wiring
Wireless Networks
Summary
Recommended Reading

Chapter 14 - Wrappging It Up

Glossary of Terms and Technologies

References

About the Author

Ezt a könyvet én még valamikor 2016-ban szereztem egy atlantai ICS Cyber Security Conference-en, de a mai napig kapható, pl. az Amazonon most 25 amerikai dollárért rendelhető meg.

Az elmúlt 1-2 évben a mesterséges intelligencia (amit azért még mindig helyesebb lenne gépi tanulási modellnek neveznünk, de feleljünk meg a korszellemnek, legyen AI), szóval az AI az élet nagyon sok részét letarolta. Nem kivétel ma már ez alól az ICS/OT rendszerek világa sem. Egyrészt használják a folyamatirányítási mérnökök és az OT rendszerek által támogatott üzleti területeken dolgozó szakértők gyorsabb és hatékonyabb adatelemzési és optimalizálási feladatokra, másrészt pedig egyre inkább használják sérülékenység vizsgálati, behatolás-tesztelési feladatokra és bizony használják már a különböző, képzettebb (és emiatt veszélyesebb) támadói csoportok is (elég csak a november közepén napvilágot látott hírre gondolni, hogy kínai hátterűnek gondolt támadók az Anthropic AI agent-jét, a Claude-ot használták arra, hogy automatizálják a kémkedési céllal indított támadásaikat - erről az Anthropic riportja itt olvasható).

Ennek a kétféle felhasználási módnak megvannak a maguk kockázatai. A legális, OT rendszerekhez kapcsolódó adatelemzési és folyamatoptimalizálási AI-használatnál leginkább arra célszerű figyelni, hogy az AI-tól kapott válaszokat és eredményeket mindig validálják emberi mérnökökkel, különösen azokban az esetekben, amikor a folyamatirányítási rendszerek beállításainak optimalizálásához használják egy AI modell segítségét. Ez még az egyszerűbb eset.

A második felhasználási módnál (legalább is az offenzív vizsgálatok etikus részében) szintén annál nagyobb körültekintéssel kell eljárni, minél inkább safety-kritikus alkalmazásokat vizsgálnak (persze az is megér majd egy posztot, hogy lehet-e, szabad-e ICS/OT rendszereket aktív AI-támogatással rendelkező szoftverekkel vizsgálni - erről talán majd 2026-ban fogok is írni egy posztot).

Viszont az, hogy az AI használata rossz kezekben milyen nagyon komoly fenyegetést jelenthet az ipari rendszerekre és/vagy kritikus infastruktúrák számára, azt a HCAST (Human-Calibrated Autonomy Software Tasks) tanulmány szerzői (szép, nagy létszámú csapat, név szerint: David Rein, Joel Becker, Amy Deng, Seraphina Nix, Chris Canal, Daniel O'Connel, Pip Arnott, Ryan Bloom, Thomas Broadley, Katharyn Garcia, Brian Goodrich, Max Hasin, Sami Jawhar, Megan Kinniment, Thomas Kwa, Aron Lajko, Nate Rush, Lucas Jun Koba Sato, Sydney Von Arx, Ben West, Lawrence Chan és Elizabeth Barnes) nem teljesen szándékosan bizonyítottak. A HCAST csapat egy AI benchmark kísérletet (a METR benchmark felhasználásával, ami egy tucatnyi feladaton méri le, hogy a képzett emberhez képest az AI modellek mennyi idő alatt képesek elvégezni ugyanazt a feladatot) folytatott.

Ennek a kísérletnek pedig volt egy olyan eredménye, amire nem sokan számítottak. A tesztek során az egyik feladat a libiec61850-es protokoll-könyvtárban történő stack-based puffer-túlcsordulásos sérülékenység kihasználása (exploitálása) volt, az ASLR (Address Space Layout Randomization) biztonsági technika megkerülésével. A tanulmány eredeti, 2025. márciusi publikálása idején ezt a feladatot a tesztelt AI modell még nem volt képes elvégezni (a képzett embernek kb. 2 óra 18 percig tartott ezt megtenni), azonban a GPT-5 megjelenése után ez megváltozott és a tesztesetek felében a GPT-5 már sikeres tudott lenni. Ez pedig félelmetes jövőképet mutat nekünk. Nem elég, hogy mostanáig az állami/titkosszolgálati hátterű APT-csoportok, az elszántabb és szervezettebb kiberbűnözői csoportok és hacktivista csapatok képesek voltak támadni az ipari rendszereket, most már akár a közepes képességű script-kiddie-k is képesek lesznek súlyos fenyegetést jelenteni az ipari folyamatirányító rendszerek működésére.

Ez pedig visszavezet minket azokhoz az alapvető ICS/OT biztonsági alapelvekhez (legalább is némelyikhez azok közül), amiket (az ICS-CERT-től kölcsönözve) minden sérülékenységeket összefoglaló posztom végén be szoktam idézni:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;

Ezek persze csak a legalapvetőbb biztonsági intézkedések, amikkel csökkenteni tudjuk az ICS/OT rendszerek kitettségét, de elég csak az idén nyáron történt Sector-16 támadásokat, amikről Kocsis Tamás írt a maga igen egyedi stílusában részletesebben. Ezek az incidensek tökéletes példái annak, milyen veszélyekkel járhat egy könnyelműen az Internetre csatlakoztatott folyamatirányító rendszer.

Figyelembe véve, hogy milyen ütemben romlik az ipari rendszerek és kritikus infrastruktúrák kiberbiztonsági helyzete (és semmilyen jel nem utal arra, hogy ebben bármilyen pozitív irányú változásra számíthatnánk 2026-ban), nagyon itt lenne az ideje, hogy mindenki, akiknek köze van ilyen rendszerekhez, komolyabban vegyék a kibertérből érkező támadások elleni védekezés feladatait.

Bejelentés dátuma: 2025.12.09.
Gyártó: U-Boot (Universal Boot Loader)
Érintett rendszer(ek):
- U-boot minden, 2017.11-nél korábbi verziója, ha a következő chipek egyike van a rendszerbe építve: Qualcomm IPQ4019, Qualcomm IPQ5018, Qualcomm IPQ5322, Qualcomm IPQ6018, Qualcomm IPQ8064, Qualcomm IPQ8074, Qualcomm IPQ9574;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control for Volatile Memory Containing Boot Code (CVE-2025-24857)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-343-01

Bejelentés dátuma: 2025.12.09.
Gyártó: D-Link (India Limited), Sparsh Securitech, Securus CCTV
Érintett rendszer(ek):
- D-Link DCS-F5614-L1 típusú kamerák v1.03.038-as és korábbi verziói;
- Nem ismert típusú és verziójú Sparsh Securitech kamerák;
- Nem ismert tíőusú és verziójú Securus kamerák;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-13607)/kritikus;
Javítás: A D-Link kamerákhoz elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-343-03

Bejelentés dátuma: 2025.12.09.
Gyártó: Festo
Érintett rendszer(ek):
- Festo Software LX Appliance 2023 júniusinál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2021-23414)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-343-02

Bejelentés dátuma: 2025.12.09.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- GuardLink EtherNet/IP Interface 432ES-IG3 A-sorozatú on-machine safety kommunikációs modul 1.001-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Denial-of-Service (CVE-2025-9368)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Rockwell Automation

Bejelentés dátuma: 2025.12.09.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Micro850/870 (L50E/L70E) V23.012-es és korábbi verziói;
- Micro850/870 (LC50/LC70) V12.013-as és korábbi verziói;
- Micro820 (LC20) V14.011-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Dependency on Vulnerable Third-Party Component (CVE-2025-13823)/közepes;
- Release of Invalid Pointer or Reference (CVE-2025-13824)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Rockwell Automation

Bejelentés dátuma: 2025.12.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxureTM Foxboro DCS V91 DCS Virtualization Server és H92 DCS Standard Workstation Intel Xeon Silver 4110-es illetve Intel Xeon W-2123-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Microarchitectural Fill Buffer Data Sampling (CVE-2018-12130)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS V10.6 minden verziója;
- NX V2412 minden, 2412.8700-nál korábbi verziója;
- NX V2506 minden, 2506.6000-nél korábbi verziója;
- Simcenter 3D minden, 2506.6000-nél korábbi verziója;
- Simcenter Femap minden, 2506.0002-nél korábbi verziója;
- Solid Edge SE2025 minden, V225.0 Update 10-nél korábbi verziója;
- Solid Edge SE2026 minden, V226.0 Update 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Certificate Validation (CVE-2025-40800)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS V10.6 minden verziója;
- JT Bi-Directional Translator for STEP minden verziója;
- NX V2412 minden, 2412.8900-nál korábbi verziója;
- NX V2506 minden, 2506.6000-nél korábbi verziója;
- Simcenter 3D minden, 2506.6000-nél korábbi verziója;
- Simcenter Femap minden, 2506.0002-nél korábbi verziója;
- Simcenter Studio minden verziója;
- Simcenter System Architect minden verziója;
- Tecnomatix Plant Simulation minden, 2504.0007-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Certificate Validation (CVE-2025-40801)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Building X - Security Manager Edge Controller (ACC-AP) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Verification of Cryptographic Signature (CVE-2022-31807)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Server minden, V3.2 SP4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2025-40818)/alacsony;
- Incorrect Authorization (CVE-2025-40819)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Gridscale X Prepay 4.2.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Observable Response Discrepancy (CVE-2025-40806)/közepes;
- Authentication Bypass by Capture-replay (CVE-2025-40807)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Energy minden, G5DFR-rel használt szolgáltatása;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-59392)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS V10.4 minden, V10.4.5-nél korábbi verziója;
- COMOS V10.5 minden, V10.5.2-nél korábbi verziója;
- COMOS V10.6 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-11053)/alacsony;
- Cross-site Scripting (CVE-2024-47875)/kritikus;
- Improper Input Validation (CVE-2025-2783)/súlyos;
- Generation of Predictable Numbers or Identifiers (CVE-2025-10148)/közepes;
- Improper Certificate Validation (CVE-2025-40800)/súlyos;
- Improper Certificate Validation (CVE-2025-40801)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX MX5000 minden, V2.17.0-nál régebbi verziója;
- RUGGEDCOM ROX MX5000RE minden, V2.17.0-nál régebbi verziója;
- RUGGEDCOM ROX RX1400 minden, V2.17.0-nál régebbi verziója;
- RUGGEDCOM ROX RX1500 minden, V2.17.0-nál régebbi verziója;
- RUGGEDCOM ROX RX1501 minden, V2.17.0-nál régebbi verziója;
- RUGGEDCOM ROX RX1510 minden, V2.17.0-nál régebbi verziója;
- RUGGEDCOM ROX RX1511 minden, V2.17.0-nál régebbi verziója;
- RUGGEDCOM ROX RX1512 minden, V2.17.0-nál régebbi verziója;
- RUGGEDCOM ROX RX1524 minden, V2.17.0-nál régebbi verziója;
- RUGGEDCOM ROX RX1536 minden, V2.17.0-nál régebbi verziója;
- RUGGEDCOM ROX RX5000 minden, V2.17.0-nál régebbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Privilege Dropping/Lowering Errors(CVE-2018-7169)/közepes;
- Improper Input Validation (CVE-2018-9234)/súlyos;
- Uncontrolled Resource Consumption (CVE-2018-12934)/súlyos;
- Integer Overflow or Wraparound (CVE-2018-1000876)/súlyos;
- Covert Timing Channel (CVE-2019-9893)/kritikus;
- Out-of-bounds Write (CVE-2019-12900)/kritikus;
- Improper Input Validation (CVE-2019-14866)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-12762)/súlyos;
- Out-of-bounds Write (CVE-2020-21047)/közepes;
- Buffer Over-read (CVE-2020-22217)/közepes;
- NULL Pointer Dereference (CVE-2020-35525)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-35550)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2021-35556)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-35559)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2021-35561)/közepes;
- Improper Input Validation (CVE-2021-35564)/közepes;
- Infinite Loop (CVE-2021-35565)/közepes;
- Incorrect Authorization (CVE-2021-35567)/közepes;
- NULL Pointer Dereference (CVE-2021-35578)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2021-35586)/közepes;
- Improper Input Validation (CVE-2021-35588)/alacsony;
- Improper Input Validation (CVE-2021-35603)/alacsony;
- Use After Free (CVE-2021-36084)/alacsony;
- Use After Free (CVE-2021-36085)/alacsony;
- Use After Free (CVE-2021-36086)/alacsony;
- Out-of-bounds Read (CVE-2021-36087)/alacsony;
- Integer Overflow or Wraparound (CVE-2021-38185)/súlyos;
- Use After Free (CVE-2021-47358)/súlyos;
- Use After Free (CVE-2021-47361)/súlyos;
- Out-of-bounds Write (CVE-2022-0435)/súlyos;
- Improper Authentication (CVE-2022-0492)/súlyos;
- Improper Preservation of Permissions (CVE-2022-0847)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-0850)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-1353)/súlyos;
- Use After Free (CVE-2022-1734)/súlyos;
- Integer Underflow (Wrap or Wraparound) (CVE-2022-2639)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-2964)/súlyos;
- Use After Free (CVE-2022-3424)/súlyos;
- Improper Locking (CVE-2022-20141)/súlyos;
- Race Condition (CVE-2022-23039)/súlyos;
- Race Condition (CVE-2022-23040)/súlyos;
- Improper Input Validation (CVE-2022-24958)/súlyos;
- Improper Validation of Array Index (CVE-2022-27223)/súlyos;
- Double Free (CVE-2022-28390)/súlyos;
- Incorrect Authorization (CVE-2022-30594)/súlyos;
- Injection (CVE-2022-34903)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-36123)/súlyos;
- Out-of-bounds Read (CVE-2022-37032)/kritikus;
- Out-of-bounds Write (CVE-2022-37434)/kritikus;
- Use After Free (CVE-2022-41858)/súlyos;
- OS Command Injection (CVE-2022-48624)/súlyos;
- Use After Free (CVE-2022-48626)/súlyos;
- Use After Free (CVE-2022-48919)/súlyos;
- Missing Lock Check (CVE-2022-48926)/súlyos;
- Classic Buffer Overflow (CVE-2022-48948)/súlyos;
- Out-of-bounds Write (CVE-2022-48951)/súlyos;
- Use After Free (CVE-2022-48960)/súlyos;
- Use After Free (CVE-2022-48962)/súlyos;
- Out-of-bounds Read (CVE-2022-48966)/súlyos;
- Improper Validation of Array Index (CVE-2022-48967)/súlyos;
- Classic Buffer Overflow (CVE-2022-49058)/súlyos;
- Incorrect Implementation of Authentication Algorithm (CVE-2023-4641)/közepes;
- Improper Input Validation (CVE-2023-27043)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28322)/alacsony;
- Injection (CVE-2023-29383)/alacsony;
- Out-of-bounds Write (CVE-2023-29491)/súlyos;
- NULL Pointer Dereference (CVE-2023-41358)/súlyos;
- Insertion of Sensitive Information Into Sent Data (CVE-2023-46218)/közepes;
- Incorrect Authorization (CVE-2023-46753)/közepes;
- Improper Input Validation (CVE-2023-47234)/súlyos;
- Race Condition (CVE-2024-0397)/súlyos;
- Improper Input Validation (CVE-2024-5642)/közepes;
- Inefficient Regular Expression Complexity (CVE-2024-6232)/súlyos;
- Code Injection (CVE-2024-6923)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-7592)/súlyos;
- Improper Validation of Specified Type of Input (CVE-2024-11168)/alacsony;
- Inefficient Algorithmic Complexity (CVE-2024-12133)/közepes;
- Inefficient Algorithmic Complexity (CVE-2024-12243)/közepes;
- Improper Neutralization of Escape, Meta, or Control Sequences (CVE-2024-28085)/alacsony;
- Static Code Injection (CVE-2024-32487)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2024-50602)/közepes;
- Out-of-bounds Write (CVE-2024-52533)/kritikus;
- Improper Input Validation (CVE-2025-0938)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CN 4100 minden, V4.0.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2025-40937)/súlyos;
- Use of Hard-coded Credentials (CVE-2025-40938)/súlyos;
- Improper Access Control (CVE-2025-40939)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2025-40940)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2025-40941)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM T minden, V3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Parameter/Argument Delimiters (CVE-2022-29872)/súlyos;
- Improper Neutralization of Parameter/Argument Delimiters (CVE-2022-29873)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-29874)/súlyos;
- Cross-site Scripting (CVE-2022-29876)/súlyos;
- Authentication Bypass by Capture-replay (CVE-2022-29878)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-29879)/közepes;
- Cross-site Scripting (CVE-2022-29880)/közepes;
- Missing Authentication for Critical Function (CVE-2022-29881)/közepes;
- Cross-site Scripting (CVE-2022-29882)/súlyos;
- Improper Authentication (CVE-2022-29883)/közepes;
- Session Fixation (CVE-2022-40226)/súlyos;
- Improper Neutralization of Parameter/Argument Delimiters (CVE-2022-41665)/kritikus;
- Neutralization of Parameter/Argument Delimiters
- Improper Input Validation (CVE-2022-43439)/kritikus;
- Cross-Site Request Forgery (CSRF) (CVE-2023-30901)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-31238)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RMC8388 V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RS416Pv2 V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RS416v2 V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RS900 (32M) V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RS900G (32M) V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG2100 (32M) V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG2100P (32M) V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG2288 V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG2300 V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG2300P V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG2488 V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG907R minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG908C minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG909R minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG910C minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSG920P V5.X minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RSL910 minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RST2228 minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RST2228P minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RST916C minden, V5.10.1-nél korábbi verziója;
- RUGGEDCOM RST916P minden, V5.10.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2025-40935)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC Security Monitor minden, V4.10.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authorization (CVE-2025-40830)/közepes;
- Improper Input Validation (CVE-2025-40831)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX II termékcsalád minden, V2.17.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Injection (CVE-2024-56835)/súlyos;
- Command Injection (CVE-2024-56836)/súlyos;
- Command Injection (CVE-2024-56837)/súlyos;
- Injection (CVE-2024-56838)/súlyos;
- Injection (CVE-2024-56839)/súlyos;
- Injection (CVE-2024-56840)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SIDOOR ATD430W minden verziója;
- SIDOOR ATE530G COATED (6FB1221-5SM10-7BP0) minden verziója;
- SIDOOR ATE530S COATED minden verziója;
- SIMATIC CFU DIQ (6ES7655-5PX31-1XX0) minden,V2.0.0-nál korábbi verziója;
- SIMATIC CFU PA (6ES7655-5PX11-0XX0) minden,V2.0.0-nál korábbi verziója;
- SIMATIC CFU PA (6ES7655-5PX11-1XX0) minden,V2.0.0-nál korábbi verziója;
- SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0) minden verziója;
- SIMATIC ET 200clean, CM 8x IO-Link (6ES7148-7JH00-0BB0) minden verziója;
- SIMATIC ET 200clean, DI 16x24VDC (6ES7141-7BH00-0BB0) minden verziója;
- SIMATIC ET 200clean, DIQ 16x24VDC/0,5A (6ES7143-7BH00-0BB0) minden verziója;
- SIMATIC ET 200eco PN, AI 8xRTD/TC, M12-L (6ES7144-6JF00-0BB0) V5.1.1 és újabb verziói;
- SIMATIC ET 200eco PN, CM 4x IO-Link, M12-L (6ES7148-6JE00-0BB0) V5.1.1 és újabb verziói;
- SIMATIC ET 200eco PN, CM 8x IO-Link, M12-L (6ES7148-6JG00-0BB0) V5.1.1 és újabb verziói;
- SIMATIC ET 200eco PN, CM 8x IO-Link, M12-L (6ES7148-6JJ00-0BB0) V5.1.1 és újabb verziói;
- SIMATIC ET 200eco PN, DI 16x24VDC, M12-L (6ES7141-6BH00-0BB0) V5.1.1 és újabb verziói;
- SIMATIC ET 200eco PN, DI 8x24VDC, M12-L (6ES7141-6BG00-0BB0) V5.1.1 és újabb verziói;
- SIMATIC ET 200eco PN, DIQ 16x24VDC/2A, M12-L (6ES7143-6BH00-0BB0) V5.1.1 és újabb verziói;
- SIMATIC ET 200eco PN, DQ 8x24VDC/0,5A, M12-L (6ES7142-6BG00-0BB0) V5.1.1 és újabb verziói;
- SIMATIC ET 200eco PN, DQ 8x24VDC/2A, M12-L (6ES7142-6BR00-0BB0) V5.1.1 és újabb verziói;
- SIMATIC ET 200MP IM 155-5 PN HF (6ES7155-5AA00-0AC0) V4.2.0 és újabb verziói;
- SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-2AC0) V4.2.0 és újabb verziói;
- SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-7AC0) V4.2.0 és újabb verziói;
- SIPLUS ET 200MP IM 155-5 PN HF T1 RAIL (6AG2155-5AA00-1AC0) V4.2.0 és újabb verziói;
- SIMATIC ET 200SP IM 155-6 MF HF (6ES7155-6MU00-0CN0) minden verziója;
- SIMATIC ET 200SP IM 155-6 PN HA (beleértve a SIPLUS változatokat is) minden, V1.3-nál korábbi verziója;
- SIMATIC ET 200SP IM 155-6 PN HF (6ES7155-6AU00-0CN0) V4.2.0 és újabb verziói;
- SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU00-4CN0) V4.2.0 és újabb verziói;
- SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU00-2CN0) V4.2.0 és újabb verziói;
- SIPLUS ET 200SP IM 155-6 PN HF T1 RAIL (6AG2155-6AU00-1CN0) V4.2.0 és újabb verziói;
- SIMATIC ET 200SP IM 155-6 PN/2 HF (6ES7155-6AU01-0CN0) V4.2.0 és újabb verziói;
- SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-2CN0) V4.2.0 és újabb verziói;
- SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-7CN0) V4.2.0 és újabb verziói;
- SIPLUS ET 200SP IM 155-6 PN HF T1 RAIL (6AG2155-6AU01-1CN0) V4.2.0 és újabb verziói;
- SIPLUS ET 200SP IM 155-6 PN HF TX RAIL (6AG2155-6AU01-4CN0) V4.2.0 és újabb verziói;
- SIMATIC ET 200SP IM 155-6 PN/3 HF (6ES7155-6AU30-0CN0) V4.2.0 és újabb verziói;
- SIMATIC PN/MF Coupler (6ES7158-3MU10-0XA0) minden verziója;
- SIMATIC PN/PN Coupler (6ES7158-3AD10-0XA0) minden, V6.0.0-nál korábbi verziója;
- SIMATIC Power Line Booster PLB, Base Module (6ES7972-5AA10-0AB0) minden verziója;
- SIMATIC Power Line Booster PLB, Modem Module ST (6ES7972-5AA51-0AB0) minden verziója;
- SIMATIC S7-200 SMART CPU CR40 (6ES7288-1CR40-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU CR60 (6ES7288-1CR60-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA1) minden verziója;
- SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA0) minden verziója;
- SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA1) minden verziója;
- SIMATIC ET 200pro IM 154-8 PN/DP CPU (6ES7154-8AB01-0AB0) minden verziója;
- SIMATIC ET 200pro IM 154-8F PN/DP CPU (6ES7154-8FB01-0AB0) minden verziója;
- SIMATIC ET 200pro IM 154-8FX PN/DP CPU (6ES7154-8FX00-0AB0) minden verziója;
- SIMATIC ET 200S IM 151-8 PN/DP CPU (6ES7151-8AB01-0AB0) minden verziója;
- SIMATIC ET 200S IM 151-8F PN/DP CPU (6ES7151-8FB01-0AB0) minden verziója;
- SIMATIC S7-300 CPU 314C-2 PN/DP (6ES7314-6EH04-0AB0) minden verziója;
- SIMATIC S7-300 CPU 315-2 PN/DP (6ES7315-2EH14-0AB0) minden verziója;
- SIMATIC S7-300 CPU 315F-2 PN/DP (6ES7315-2FJ14-0AB0) minden verziója;
- SIMATIC S7-300 CPU 315T-3 PN/DP (6ES7315-7TJ10-0AB0) minden verziója;
- SIMATIC S7-300 CPU 317-2 PN/DP (6ES7317-2EK14-0AB0) minden verziója;
- SIMATIC S7-300 CPU 317F-2 PN/DP (6ES7317-2FK14-0AB0) minden verziója;
- SIMATIC S7-300 CPU 317T-3 PN/DP (6ES7317-7TK10-0AB0) minden verziója;
- SIMATIC S7-300 CPU 317TF-3 PN/DP (6ES7317-7UL10-0AB0) minden verziója;
- SIMATIC S7-300 CPU 319-3 PN/DP (6ES7318-3EL01-0AB0) minden verziója;
- SIMATIC S7-300 CPU 319F-3 PN/DP (6ES7318-3FL01-0AB0) minden verziója;
- SIPLUS ET 200S IM 151-8 PN/DP CPU (6AG1151-8AB01-7AB0) minden verziója;
- SIPLUS ET 200S IM 151-8F PN/DP CPU (6AG1151-8FB01-2AB0) minden verziója;
- SIPLUS S7-300 CPU 314C-2 PN/DP (6AG1314-6EH04-7AB0) minden verziója;
- SIPLUS S7-300 CPU 315-2 PN/DP (6AG1315-2EH14-7AB0) minden verziója;
- SIPLUS S7-300 CPU 315F-2 PN/DP (6AG1315-2FJ14-2AB0) minden verziója;
- SIPLUS S7-300 CPU 317-2 PN/DP (6AG1317-2EK14-7AB0) minden verziója;
- SIPLUS S7-300 CPU 317F-2 PN/DP (6AG1317-2FK14-2AB0) minden verziója;
- SIMATIC S7-400 H V6 CPU family (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-400 CPU 412-2 PN V7 (6ES7412-2EK07-0AB0) minden verziója;
- SIMATIC S7-400 CPU 414-3 PN/DP V7 (6ES7414-3EM07-0AB0) minden verziója;
- SIMATIC S7-400 CPU 414F-3 PN/DP V7 (6ES7414-3FM07-0AB0) minden verziója;
- SIMATIC S7-400 CPU 416-3 PN/DP V7 (6ES7416-3ES07-0AB0) minden verziója;
- SIMATIC S7-400 CPU 416F-3 PN/DP V7 (6ES7416-3FS07-0AB0) minden verziója;
- SIPLUS S7-400 CPU 414-3 PN/DP V7 (6AG1414-3EM07-7AB0) minden verziója;
- SIPLUS S7-400 CPU 416-3 PN/DP V7 (6AG1416-3ES07-7AB0) minden verziója;
- SIMATIC S7-410 V10 CPU family (beleértve a SIPLUS változatokat is) minden, V10.2-nél korábbi verziója;
- SIMATIC S7-410 V8 CPU family (beleértve a SIPLUS változatokat is) minden, V8.3-nál korábbi verziója;
- SIMATIC S7-1200 CPU 1212C AC/DC/Rly (6ES7212-1BE40-0XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1212 AC/DC/RLY (6AG1212-1BE40-4XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1212C AC/DC/RLY (6AG1212-1BE40-2XB0) minden, V4.4.0-nál korábbi verziója;
- SIMATIC S7-1200 CPU 1212C DC/DC/DC (6ES7212-1AE40-0XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1212C DC/DC/DC (6AG1212-1AE40-2XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1212C DC/DC/DC (6AG1212-1AE40-4XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1212C DC/DC/DC RAIL (6AG2212-1AE40-1XB0) minden, V4.4.0-nál korábbi verziója;
- SIMATIC S7-1200 CPU 1212C DC/DC/Rly (6ES7212-1HE40-0XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1212 DC/DC/RLY (6AG1212-1HE40-2XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1212 DC/DC/RLY (6AG1212-1HE40-4XB0) minden, V4.4.0-nál korábbi verziója;
- SIMATIC S7-1200 CPU 1214C AC/DC/Rly (6ES7214-1BG40-0XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1214 AC/DC/RLY (6AG1214-1BG40-5XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1214C AC/DC/RLY (6AG1214-1BG40-2XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1214C AC/DC/RLY (6AG1214-1BG40-4XB0) minden, V4.4.0-nál korábbi verziója;
- SIMATIC S7-1200 CPU 1214C DC/DC/DC (6ES7214-1AG40-0XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1214C DC/DC/DC (6AG1214-1AG40-2XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1214C DC/DC/DC (6AG1214-1AG40-4XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1214C DC/DC/DC (6AG1214-1AG40-5XB0) minden, V4.4.0-nál korábbi verziója;
- SIPLUS S7-1200 CPU 1214C DC/DC/DC RAIL (6AG2214-1AG40-1XB0) minden, V4.4.0-nál korábbi verziója;
- SIMATIC ET 200SP CPU 1510SP F-1 PN (6ES7510-1SJ00-0AB0) minden verziója;
- SIMATIC ET 200SP CPU 1510SP-1 PN (6ES7510-1DJ00-0AB0) minden verziója;
- SIMATIC ET 200SP CPU 1512SP F-1 PN (6ES7512-1SK00-0AB0) minden verziója;
- SIMATIC ET 200SP CPU 1512SP-1 PN (6ES7512-1DK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN00-0AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN00-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN00-2AB0) minden verziója;
- SIMATIC TDC CP51M1 minden verziója;
- SIMATIC TDC CPU555 minden verziója;
- SIMOCODE pro V Ethernet/IP (beleértve a SIPLUS változatokat is) minden verziója;
- SIMOCODE pro V PROFINET minden verziója;
- SINUMERIK 840D sl minden verziója;
- SIPLUS HCS4200 CIM4210 (6BK1942-1AA00-0AA0) minden verziója;
- SIPLUS HCS4200 CIM4210C (6BK1942-1AA00-0AA1) minden verziója;
- SIPLUS HCS4300 CIM4310 (6BK1943-1AA00-0AA0) minden verziója;
- SIPLUS NET PN/PN Coupler (6AG2158-3AD10-4XA0) minden, V6.0.0-nál korábbi verziója;
- SIWAREX WP231 (7MH4960-2AA01) minden verziója;
- SIWAREX WP241 (7MH4960-4AA01) minden verziója;
- SIWAREX WP251 (7MH4960-6AA01) minden verziója;
- SIWAREX WP521 ST (7MH4980-1AA01) minden verziója;
- SIWAREX WP522 ST (7MH4980-2AA01) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Verification of Source of a Communication Channel (CVE-2025-40820)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.12.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, V2512-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Uninitialized Resource (CVE-2025-40829)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.12.10.
Gyártó: Moxa
Érintett rendszer(ek):
- MXsecurity sorozatú szoftverek v2.3.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improperly Controlled Modification of Dynamically-Determined Object Attributes (CVE-2025-9315)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.12.10.
Gyártó: WAGO
Érintett rendszer(ek):
- Indurestrial-Managed-Switch-ek 0852-1322-es modelljeinek 02.64-nél korábbi firmware-verziói;
- Indurestrial-Managed-Switch-ek 0852-1328-as modelljeinek 02.64-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-41732)/kritikus;
- Stack-based Buffer Overflow (CVE-2025-41730)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2025-095/

Bejelentés dátuma: 2025.12.11.
Gyártó: OpenPLC_V3
Érintett rendszer(ek):
- OpenPLC_V3 #310-es pull request előtti verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2025-13970)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-10

Bejelentés dátuma: 2025.12.11.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- iSTAR Ultra 6.9.7.CU01-nél korábbi verziói;
- iSTAR Ultra SE 6.9.7.CU01-nél korábbi verziói;
- iSTAR Ultra G2 6.9.3-nál korábbi verziói;
- iSTAR Ultra G2 SE 6.9.3-nál korábbi verziói;
- iSTAR Edge G2 6.9.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Special Elements used in an OS Command (CVE-2025-43875)/súlyos;
- Improper Neutralization of Special Elements used in an OS Command (CVE-2025-43876)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-01

Bejelentés dátuma: 2025.12.11.
Gyártó: AzeoTech
Érintett rendszer(ek):
- DAQFactory 20.7-es (Build 2555) és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2025-66590)/súlyos;
- Out-of-bounds Read (CVE-2025-66589)/súlyos;
- Access of Uninitialized Pointer (CVE-2025-66588)/súlyos;
- Heap-based Buffer Overflow (CVE-2025-66587)/súlyos;
- Type Confusion (CVE-2025-66586)/súlyos;
- Use After Free (CVE-2025-66585)/súlyos;
- Stack-based Buffer Overflow (CVE-2025-66584)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-03

Bejelentés dátuma: 2025.12.11.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- iSTAR Ultra 6.9.7.CU01-nél korábbi verziói;
- iSTAR Ultra SE 6.9.7.CU01-nél korábbi verziói;
- iSTAR Ultra LT 6.9.7.CU01-nél korábbi verziói;
- iSTAR Ultra G2 6.9.3-nál korábbi verziói;
- iSTAR Ultra G2 SE 6.9.3-nál korábbi verziói;
- iSTAR Edge G2 6.9.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-43873)/súlyos;
- OS Command Injection (CVE-2025-43874)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-02

Bejelentés dátuma: 2025.12.16.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GT Designer3 Version1 (GOT2000) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2025-11009)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-350-04

Bejelentés dátuma: 2025.12.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- AFS 660-B/C/S;
- AFS 665-B/S;
- AFS 670 v2.0;
- AFS 650;
- AFS 655;
- AFS 670;
- AFS 675;
- AFS 677;
- AFR 677;
- AFF 660;
- AFF 665;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- RADIUS Response Forgery (CVE-2024-3596)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-350-03

Bejelentés dátuma: 2025.12.1
Gyártó: Johnson Controls
Érintett rendszer(ek):
- PowerG 53.02-es és korábbi verziói;
- IQHub minden verziója;
- IQPanel 2 minden verziója;
- IQPanel 2+ minden verziója;
- IQPanel 4 4.6.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2025-61738)/alacsony;
- Nonce Reuse (CVE-2025-61739)/súlyos;
- Weak Pseudo-Random Number Generator (CVE-2025-26379)/súlyos;
- Improper Authentication (CVE-2025-61740)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-350-02

Bejelentés dátuma: 2025.12.1
Gyártó: Advantech
Érintett rendszer(ek):
- WebAccess/SCADA 9.2.1-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Directory Traversal (CVE-2025-14850)/súlyos;
- Unrestricted File Upload (CVE-2025-14849)/súlyos;
- Directory Traversal (CVE-2025-14848)/közepes;
- SQL Injection (CVE-2025-46268)/közepes;
- Directory Traversal (CVE-2025-67653)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-06

Bejelentés dátuma: 2025.12.1
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GENESIS64 10.97.2_CFR_3-as és korábbi verziói;
- ICONICS Suite 10.97.2_CFR_3-as és korábbi verziói;
- MobileHMI 10.97.2_CFR_3-as és korábbi verziói;
- MC Works64 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Denial-of-Service (CVE-2025-11774)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-04

Bejelentés dátuma: 2025.12.1
Gyártó: Axis Communications
Érintett rendszer(ek):
- AXIS Camera Station Pro 6.9-esnél korábbi verziói;
- AXIS Camera Station 5.58-nál korábbi verziói;
- AXIS Device Manager 5.32-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Remote Code Execution (CVE-2025-30023)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-08

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A blogon már többször volt szó vasúti és tengerhajózásban használt vezérlőrendszerek kiberbiztonságáról, ma ismét egy ilyen témájú poszt következik.

Még november 20-án jelent meg a Kaspersky ICS-CERT-jének egy tanulmány, amiben a kutatók egy autó modemjébe törtek be, majd vették át az irányítást az autó rendszerei felett és az érintőképernyőre a gyári szoftver helyére feltöltött Doom-ot pakolták ki (ami ugye már jó néhány éve egy egyébént jópofa verseny, hogy mindenféle, kijelzővel rendelkező rendszerre kinek és hogyan sikerül felapplikálnia a Doom nevű, bátran ikonikusnak és legendásnak nevezhető FPS játékot). A kísérletről készült részletes leírás itt olvasható.

Szerencsére ez csak egy jóindulatú kísérlet volt, azonban a szerdán, december 17-én napvilágot látott hírek szerint a francia hatóságok egy (akkor még) feltételezett (azóta megerősített) incidenst vizsgálnak, amiben a Grandi Navi Veloci (GNV) nevű cég által üzemeltetett komp, a Fantastic nevű hajó elleni malware-támadást vizsgálnak.

Másnap, 18-án további részletek láttak napvilágot, amelyek szerint a vizsgálatot a francia titkosszolgálat, a DGSI (Direction Générale de la Sécurité Intérieure) végzi és a Fantastic legénységének legalább 2 tagját, egy lett és egy bolgár személyt is őrizetbe vettek. Később a bolgár embert vádemelés nélkül elengedték, a lett legénységi tagot azonban továbbra is őrizetben tartják. Az immár határokon átívelő nyomozásba az Eurojust is bekapcsolódott. Részleteket lehetett olvasni az incidenst okozó malware-ről is, a hírek szerint egy Remote Access Trojan volt, amit egy USB adathordozóval juttattak be a komp vezérlőrendszerébe.

Ahogy az idézett cikkekben is megjelenik, a vizsgálatot végző szervezetek vezetői már most sejtették, hogy az utóbbi időkben bekovetkezett incidensekhez hasonlóan ebben az esetben is számításba veszik, hogy Oroszország érintett lehet - nyilván figyelembe kell venni, hogy az ilyen támadások részei lehetnek egy hibrid hadviselésnek, de muszáj kimondanom: amikor egy-egy ilyen incidens után minden második cikkben azt taglalják, hogy melyik, a nyugati világgal ellenséges vagy rivalizáló ország titkosszolgálata állhat, eltereljük a figyelmet a valódi kérdésről, ami szerintem ez: mit kellett volna tenniük és mit kéne tennünk most annak érdekében hogy egy ilyen incidens ne következhessen be vagy ha már bekövetkezett, ne ismétlődhessen meg?

A hírek szerint kibertámadás érte a Petróleos de Venezuela nevű cég, a venezuelai állami olajvállalat rendszereit. Mostanában ilyen incidensekről külön posztban már nem szoktam írni, de figyelembe véve, hogy a Trump-adminisztráció az elmúlt hetekben egyre nagyobb nyomás alá helyezi a Caracas-i kormányt, ez az incidens is érdekesebb megvilágítást kaphat.

A PDVSA (Telegram-on közzétett, spanyol nyelvű) nyilatkozata szerint a cég munkatársai sikeresen megakadályozták, hogy az incidens elérje a folyamatirányító rendszereiket. Érdemes lesz figyleni, hogy az elkövetkező napokban jönnek-e és ha igen, milyen hírek a PDVSA-ról.

Bejelentés dátuma: 2025.11.20.
Gyártó: ABB
Érintett rendszer(ek):
- ABB Ability Edgenius 3.2.0.0 verziója;
- ABB Ability Edgenius 3.2.1.1 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass (CVE-2025-10571)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedés alkalmazását javasolja.
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.12.01.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Control for BeagleBone SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for IOT2000 SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for Linux ARM SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for Linux SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for PFC100 SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for PFC200 SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for PLCnext SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for Raspberry Pi SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for WAGO Touch Panels 600 SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for emPC-A/iMX6 SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Edge Gateway for Linux 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS PLCHandler 3.5.21.0-tól 3.5.21.40-ig terjedő verziói;
- CODESYS Remote Target Visu 3.5.21.0-tól 3.5.21.40-ig terjedő verziói;
- CODESYS Runtime Toolkit 3.5.21.0-tól 3.5.21.40-ig terjedő verziói;
- CODESYS TargetVisu for Linux SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Virtual Control SL 4.15.0.0-tól 4.19.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2025-41739)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2025-099/

Bejelentés dátuma: 2025.12.01.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Control RTE (SL) 3.5.18.0-tól 3.5.21.40-ig terjedő verziói;
- CODESYS Control RTE (for Beckhoff CX) SL 3.5.18.0-tól 3.5.21.40-ig terjedő verziói;
- CODESYS Control Win (SL) 3.5.18.0-tól 3.5.21.40-ig terjedő verziói;
- CODESYS Control for BeagleBone SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for IOT2000 SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for Linux ARM SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for Linux SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for PFC100 SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for PFC200 SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for PLCnext SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for Raspberry Pi SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for WAGO Touch Panels 600 SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS Control for emPC-A/iMX6 SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
- CODESYS HMI (SL) 3.5.18.0-tól 3.5.21.40-ig terjedő verziói;
- CODESYS Remote Target Visu 3.5.18.0-tól 3.5.21.40-ig terjedő verziói;
- CODESYS Runtime Toolkit 3.5.18.0-tól 3.5.21.40-ig terjedő verziói;
- CODESYS Virtual Control SL 4.5.0.0-tól 4.19.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Type Confusion (CVE-2025-41738)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2025-100/

Bejelentés dátuma: 2025.12.01.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Development System 3.5.21.40-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2025-41700)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2025-101/

Bejelentés dátuma: 2025.12.02.
Gyártó: Mirion Medical
Érintett rendszer(ek):
- EC2 Software NMIS BioDose 23.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2025-64642)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2025-64298)/súlyos;
- Use of Client-Side Authentication (CVE-2025-61940)/súlyos;
- Use of Hard-coded Credentials (CVE-2025-64778)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2025-62575)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-336-01

Bejelentés dátuma: 2025.12.04.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GX Works2 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2025-3784)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-338-01

Bejelentés dátuma: 2025.12.04.
Gyártó: MAXHUB
Érintett rendszer(ek):
- Pivot kliens alkalmazás minden, v1.36.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2025-53704)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-338-02

Bejelentés dátuma: 2025.12.04.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- OpenBlue Mobile Web Application for OpenBlue Workplace 2025.1.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Forced Browsing (CVE-2025-26381)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-338-03

Bejelentés dátuma: 2025.12.04.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- iSTAR eX minden, TLS 1.2-nél korábbi verziója;
- iSTAR Edge minden, TLS 1.2-nél korábbi verziója;
- iSTAR Ultra LT (TLS 1.2) minden, TLS 1.2-nél korábbi verziója;
- iSTAR Ultra (TLS 1.2) minden, TLS 1.2-nél korábbi verziója;
- iSTAR Ultra SE (TLS 1.2) minden, TLS 1.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Certificate Expiration (CVE-2025-61736)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-338-04

Bejelentés dátuma: 2025.12.04.
Gyártó: Sunbird
Érintett rendszer(ek):
- DCIM dcTrack v9.2.0 és korábbi verziói;
- Power IQ v9.2.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-66238)/közepes;
- Use of Hard-coded Credentials (CVE-2025-66237)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-338-05

Bejelentés dátuma: 2025.12.04.
Gyártó: SolisCloud
Érintett rendszer(ek):
- Monitoring Platform (Cloud API & Device Control API) API v1 és API v2 verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authorization Bypass Through User-Controlled Key (CVE-2025-13932)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-338-06

Bejelentés dátuma: 2025.12.04.
Gyártó: Advantech
Érintett rendszer(ek):
- iView 5.7.05.7057-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2025-13373)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-338-07

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Sinclair Koelemij-től már többször hoztam ICS/OT biztonsági témájú publikációkat a szombati posztjaim közé. Az utolsó ilyen eset óta volt szerencsém személyesen is beszélni Sinclair-rel és meghallgatni egy előadását a Cyber-Physical Risk Assessment témában, ami - hogy is mondjam? Iszonyatosan tömény és nagy mély szakmai tartalom. Befogadása és feldolgozása is hatalmas feladat, alkalmazása pedig még ennél is nagyobb lesz.

Ma viszont nem erről, hanem egy tegnap megjelent cikkéről lesz szó, amiben az EU Digitális Omnibusz nevű javaslatáról szól.

Az Európai Unió az elmúlt években számos új szabályozást hozott és fog hozni (GDPR, NIS, NIS2, CER, a Cyber Resilient Act pedig már itt van a kanyarban). Ezek a szabályozások mind előírnak valamilyen jelentési kötelezettséget, ezeknek a kötelezettségeknek pedig egyre nehezebb összehangolt módon megfelelni. Ennek megkönnyítésére jelent meg nemrég az EU Digitális Omnibusz nevű javaslata (munkadokumentuma), ami egy meglepően parktikus, egyszerű jelentési architektúrát kínál. Ez az új jelentési szerkezet segít csökkenteni a duplikációkat és az ipari kritikus infrastruktúrák üzemeltetőinek egy kezelhető módszert kinál a több keretrendszerből származó, incidensekhez kapcsolódó kötelezettségek teljesítéséhez.

A Digitális Omnibusz nem változtatja meg a szabályokat, de működővé és használhatóvá teszi őket.

Sinclair cikke a LinkedIn-en, a Digitális Omnibusz pedig az eur-lex.europa.eu oldalon érhető el.

Még 2011 végén, egy, az akkori munkahelyemen kapott feladattal kerültem egy ICS/SCADA rendszer kiberbiztonságának a közelébe. Utána éveken át azon gondolkodtam, hogy mi lenne a legjobb formája ezzel a témával foglalkoznom, talán előadást kéne tartani? Végül a 2015-ös ICS Cybersecurity Conference (és Joe Weiss-szel illetve Robert M. Lee-vel folytatott beszélgetések) után jutottam arra a felismerésre, hogy talán a blog lehet a legjobb formája annak, hogy rendszeresen megnyilvánuljak a témában - ezt a gondolatot végül tett követte és végül 2015. december 6-án (vagyis napra pontosan 10 éve) publikáltam az első (Bevezetés) posztot.

Ahogy nemrég Keleti Arthurral szóba került, a blogot végül az Önkéntes Kibervédelmi Összefogás mögé bújva kezdtem el írni, mert az akkori főnököm, amikor nem részletekbe menően elejtettem neki olyan megjegyzéseket, hogy én írnék ICS/OT kiberbiztonság témában, azonnal azt kérte, hogy inkább ne tegyem, ne vonjam az akkori munkahelyemre a figyelmet - végül is, a 2015-ös és 2016-os ukrán villamosenergia-rendszer elleni kibertámadások, majd az azóta egyre nagyobb számban bekövetkezett incidensek alapján, nem bizonyult teljesen alaptalannak ez a kérés. Viszont ennek volt egyenes következménye az is, hogy amikor a blog alig 4 évvel az indulása után ITBN díjat kapott Ismeretterjesztés kategóriában, nem én mentem ki átvenni azt, hanem Arató Gyurit kértem meg, hogy "a KIBEV nevében" vegye azt át - viszont azóta is itt van a polcomon a díj, még ha úgy is éreztem (és érzem ma is), hogy nem kicsit megelőlegezett volt ez az elismerés.

Az elmúlt 10 évben végül 1078 poszt született, ezekből 491 poszt szólt az ICS/OT rendszerek sérülékenységeiről, a többi pedig cikkajánlók, szakkönyvek, incidens-beszámolók, ICS/OT-specifikus tanfolyamokról, minősítésekről, konferenciákról szóltak, az ICS/OT rendszerek biztonsága terén még csak az első, bátortalan lépéseiket próbálgató kollégáknak szóltak vagy épp az én gondolataimnak adtak teret - és volt 5 vendégposzt is, mindegyik GéPé tollából.

Sok minden történt ez alatt a 10 év alatt. Egyfelől nem sikerült elérnem a 2015-ben még csak bizonytalanul fogalmazódó célomat, hogy az ICS/OT rendszerek kiberbiztonsága legalább a szakmán belül legyen egy napi-heti szinten rendszeresen tárgyalt téma/terület (ezt jól mutatja, hogy a blognak jelenleg - 10 év után - összesen van 18 feliratkozója). Másrészt viszont szépen, lassan, hosszú évek után csak lett egy olyan, nagyon szűk szakmai mag, akikkel lehet ilyen témákról beszélgetni - és vannak még terveim a közeli jövőre vonatkozóan is.

Egy biztos, amíg érzek magamban erőt, addig a blog aktív marad - aztán meg majd meglátjuk.