Bejelentés dátuma: 2021.11.04.
Gyártó: AzeoTech
Érintett rendszer(ek): DAQFactory alkalmazásfejlesztési platform 18.1 Build 2347-es és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Inherently Dangerous Function/súlyos
- Deserialization of Untrusted Data/súlyos
- Cleartext Transmission of Sensitive Information/közepes
- Modification of Assumed-Immutable Data (MAID)/közepes
Javítás: A gyártó jelenleg is dolgozik rajta, várhatóan 2022 elején fog megjelenni.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-308-02
Bejelentés dátuma: 2021.11.04.
Gyártó: VISAM
Érintett rendszer(ek): VBASE Pro-RT/ Server-RT (Web Remote) 11.6.0.6-os verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/súlyos
- Cross-site Scripting/közepes
- Improper Restriction of XML External Entity Reference/közepes
- Using Components with Known Vulnerabilities/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-308-01
Bejelentés dátuma: 2021.11.04.
Gyártó: Philips
Érintett rendszer(ek): Tasy EMR HTML5 3.06.1803-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2021-39375)/súlyos
- SQL Injection (CVE-2021-39376)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-308-01
Bejelentés dátuma: 2021.11.09.
Gyártó: OSIsoft
Érintett rendszer(ek): PI Web API 2019 SPI és minden korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-06
Bejelentés dátuma: 2021.11.09.
Gyártó: OSIsoft
Érintett rendszer(ek): PI:Vision minden, 2021-es korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
- Incorrect Authorization/alacsony
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-05
Bejelentés dátuma: 2021.11.09.
Gyártó: mySCADA
Érintett rendszer(ek): myDESIGNER 8.20.0 és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative Path Traversal/súlyos
Javítás: Elérhető
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-313-04
Bejelentés dátuma: 2021.11.09.
Gyártó: Siemens
Érintett rendszer(ek): Az alábbi, Nucleus RTOS-t használó rendszerek:
- Capital VSTAR minden verziója;
- Nucleus NET minden verziója;
- Nucleus ReadyStart v3 minden, v2017.02.4-esnél korábbi verziója;
- Nucleus ReadyStart v4 minden, v4.1.1-esnél korábbi verziója;
- Nucleus Source Code minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Out-of-bounds Read/súlyos
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31882)/közepes
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-31883)/súlyos
- Improper Null Termination (CVE-2021-31884)/súlyos
- Buffer Access with Incorrect Length Value/súlyos
- Improper Null Termination (CVE-2021-31886)/kritikus
- Improper Null Termination (CVE-2021-31887)/súlyos
- Improper Null Termination (CVE-2021-31888)/súlyos
- Integer Underflow/súlyos
- Improper Handling of Inconsistent Structural Elements/súlyos
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-044112.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-03
Bejelentés dátuma: 2021.11.09.
Gyártó: Schneider Electric
Érintett rendszer(ek): GUIcon 2.0 (Build 683.003) és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write/súlyos
- Use After Free/súlyos
- Out-of-bounds Read/közepes
Javítás: Nincs, az érintett rendszerek támogatása 2020-ban megszűnt
Link a publikációhoz (Schneider Electric): https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-07
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-02
Bejelentés dátuma: 2021.11.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
Az alábbi UPS termékek:
- NMC2-t (Network Management Card) tartalmazó, 1 fázisú UPS-ek, beleértve a Smart-UPS, Symmetra, és Galaxy 3500-as berendezések NMC2 AOS v6.9.8-as és korábbi verzióit;
- NMC2-t tartalmazó, 3 fázisú UPS-ek, beleértve a Symmetra PX 250/500 (SYPX NMC2 AOS v6.9.6-os és korábbi verzióit;
- NMC2-t tartalmazó, 3 fázisú UPS-ek, beleértve a Symmetra PX 48/96/100/160 kW UPS (PX2), Symmetra PX 20/40 kW UPS (SY3P), Gutor (SXW, GVX és a Galaxy (GVMTS, GVMSA, GVXTS, GVXSA, G7K, GFC, G9KCHU) berendezések NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC3-at (Network Management Card) tartalmazó, 1 fázisú UPS-ek, beleértve a Smart-UPS, Symmetra és a Galaxy 3500-as készülékek NMC3 AOS v1.4.2.1-es és korábbi vverziói;
Az alábbi APC termékek:
- NMC2-t használó APC Rack Power Distribution Units (PDU) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC3-t használó APC Rack Power Distribution Units (PDU) NMC3 AOS v1.4.0 és korábbi verziói;
- NMC2-t használó APC 3 fázisú Power Distribution Products NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó InfraStruxure 150 kVA PDU (X84P) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó InfraStruxure 40/60kVA PDU (XPDU) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó Modular 150/175kVA PDU (XRDP) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó 400 and 500 kVA (PMM) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2-t használó Modular PDU (XRDP2G) NMC2 AOS v6.9.6-os és korábbi verziói;
- Rack Automatic Transfer Switches (ATS) NMC2 AOS v6.9.6-os és korábbi verziói;
Valamint az alábbi termékek:
- Environmental Monitoring Unit beágyazott NMC2 (NB250) NetBotz NBRK0250 hálózati interfészek NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2 hálózati interfésszel szerelt hűtő berendezések (cooling products) NMC2 AOS v6.9.6-os és korábbi verziói;
- NMC2 hálózati interfésszel szerelt AP9922 Battery Management System (BM4) NMC2 AOS v6.9.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Cross-site Scripting/közepes
- Exposure of Sensitive Information to an Unauthorized Actor/közepes
Javítás: Egyes érintett rendszerekhez elérhető
Link a publikációhoz (Schneider Electric): https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-03
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-313-01
Bejelentés dátuma: 2021.11.09.
Gyártó: Philips
Érintett rendszer(ek):
- MRI 1.5T 5.x.x verziói;
- MRI 3T 5.x.x verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control/közepes
- Incorrect Ownership Assignment/közepes
- Exposure of Sensitive Information to an Unauthorized Actor/közepes
Javítás: A gyártó a javításokat 2022. októberben tervezi kiadni.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsma-21-313-01
Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek): SENTRON powermanager Version 3 minden verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource/súlyos
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-537983.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-10
Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek): Climatix POL909 (AWM modul) minden, v11.34-nél korábbi verziója
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Encryption of Sensitive Data/közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-703715.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-09
Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- NX 1953-as sorozat minden, v1973.3700-nál korábbi verziója;
- NX 1980-as sorozat minden, v1988-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free/súlyos
- Access of Uninitialized Pointer/alacsony
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-328042.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-08
Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek) az alábbi Nucleus RTOS-t (valósidejű operációs rendszert) használó berendezések:
- APOGEE MBC (PPC) (BACnet) minden verziója;
- APOGEE MBC (PPC) (P2 Ethernet) minden verziója;
- APOGEE MEC (PPC) (BACnet) minden verziója;
- APOGEE MEC (PPC) (P2 Ethernet) minden verziója;
- APOGEE PXC Compact (BACnet) minden verziója;
- APOGEE PXC Compact (P2 Ethernet) minden verziója;
- APOGEE PXC Modular (BACnet) minden verziója;
- APOGEE PXC Modular (P2 Ethernet) minden verziója;
- TALON TC Compact (BACnet) minden verziója;
- TALON TC Modular (BACnet) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Out-of-bounds Read/súlyos
- Improper Restriction of Operations within the Bounds (CVE-2021-31882)/közepes
- Improper Restriction of Operations within the Bounds (CVE-2021-31883)/súlyos
- Improper Null Termination (CVE-2021-31884)/súlyos
- Buffer Access with Incorrect Length Value/súlyos
- Improper Null Termination (CVE-2021-31886)/kritikus
- Improper Null Termination (CVE-2021-31887)/kritikus
- Improper Null Termination (CVE-2021-31888)/kritikus
- Integer Underflow/súlyos
- Improper Handling of Inconsistent Structural Elements/súlyos
Javítás: Nincs információ javításról
a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-114589.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-07
Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D minden, v8.7.1.3-nál korábbi verziója;
- SCALANCE W1750D 8.7.1.3 és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations Within the Bounds of a Memory Buffer/kritikus
- Command Injection (CVE-2021-37727)/súlyos
- Command Injection (CVE-2021-37730)/súlyos
- Command Injection (CVE-2021-37732)/súlyos
- Path Traversal (CVE-2021-37734)/közepes
- Path Traversal (CVE-2021-37735)/közepes
Javítás: A hibák egy részét a gyártó a v8.7.1.3-as és újabb verziókban javította.
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-917476.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-06
Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
Mendix 8 v8.18.13-as és korábbi verzióit használó alkalmazások;
Mendix 9 v9.6.2-es és korábbi verzióit használó alkalmazások;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Authorization (CVE-2021-42025)/közepes
- Incorrect Authorization (CVE-2021-42026)/alacsony
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-779699.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-05
Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 v7.23.26-os és korábbi verzióit használó alkalmazások;
- Mendix 8 v8.18.12-es és korábbi verzióit használó alkalmazások;
- Mendix 9 v9.6.1-es és korábbi verzióit használó alkalmazások;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Web Browser Cache Containing Sensitive Information/közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-338732.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-04
Bejelentés dátuma: 2021.11.11
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 v8.2 és korábbi verziójú rendszerek minden verziója;
- SIMATIC PCS 7 v9.0 és korábbi verziójú rendszerek minden verziója;
- SIMATIC PCS 7 v9.1 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v7.4 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v7.5 verzió minden, v7.5 SP2 Update 5-nél korábbi verziói;
- SIMATIC WinCC v15 és korábbi verziójú rendszerek minden verziója;
- SIMATIC WinCC v16 minden verziója;
- SIMATIC WinCC v17 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2021-40358)/kritikus
- Path Traversal (CVE-2021-40359)/súlyos
- Insertion of Sensitive Information into Log File/Közepes
Javítás: Elérhető
Link a publikációhoz (Siemens ProductCERT): https://cert-portal.siemens.com/productcert/pdf/ssa-840188.pdf
Link a publikációhoz (ICS-CERT): https://us-cert.cisa.gov/ics/advisories/icsa-21-315-03
Bejelentés dátuma: 2021.11.11
Gyártók: Eclipse, eProsima, GurumNetworks, Object Computing, Inc. (OCI), Real-Time Innovations (RTI), TwinOaks Computing
Érintett rendszer(ek):
- Eclipse CycloneDDS minden, 0.8.0-nál korábbi verzió;
- eProsima Fast DDS minden, 2.4.0 (#2269)-nél korábbi verzió;
- GurumNetworks GurumDDS minden verziója;
- Object Computing, Inc. (OCI) OpenDDS minden, 3.18.1-nél korábbi verzió;
- Real-Time Innovations (RTI) Connext DDS Professional and Connext DDS Secure 4.2x-től 6.1.0-ig terjedő verziói;
- RTI Connext DDS Micro 3.0.0 és későbbi verziói;
- TwinOaks Computing CoreDX DDS minden, 5.9.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Write-what-where Condition/közepes
- Improper Handling of Syntactically Invalid Structure/közepes
- Network Amplification (CVE-2021-38425)/súlyos
- Incorrect Calculation of Buffer Size(CVE-2021-38423)/közepes
- Heap-based Buffer Overflow/súlyos
- Improper Handling of Length Parameter Inconsistency/súlyos
- Amplification/súlyos
- Network Amplification (CVE-2021-38429)/súlyos
- Stack-based Buffer Overflow (CVE-2021-38427)/közepes
- Stack-based Buffer Overflow (CVE-2021-38433)/közepes
- Incorrect Calculation of Buffer Size(CVE-2021-38435)/közepes
- Network Amplification (CVE-2021-38487)/súlyos
- Network Amplification (CVE-2021-43547)/súlyos
Javítás: Egyes érintett gyártók már elérhetővé tették a javításokat.
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02
Bejelentés dátuma: 2021.11.11
Gyártó: WECON
Érintett rendszer(ek): PLC Editor: 1.3.8-as és korábbi verziói
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow/súlyos
- Out-of-bounds Write/súlyos
Javítás: Nincs
Link a publikációhoz: https://us-cert.cisa.gov/ics/advisories/icsa-21-315-01
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.