Bejelentés dátuma: 2022.07.07.
Gyártó: Bently Nevada
Érintett rendszer(ek):
- Bently Nevada 3701/40 minden, 4.1-nél korábbi verziója;
- Bently Nevada 3701/44 minden, 4.1-nél korábbi verziója;
- Bently Nevada 3701/46 minden, 4.1-nél korábbi verziója;
- Bently Nevada 60M100 (3701/60) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-29953)/kritikus;
- Missing Authentication for Critical Function (CVE-2022-29952)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-188-02

Bejelentés dátuma: 2022.07.07.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- MicroLogix 1400 21.007-es és korábbi verziói;
- MicroLogix 1100 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Rendered UI Layers or Frames (CVE-2022-2179)/közepes;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-188-01

Bejelentés dátuma: 2022.07.12.
Gyártó: Dahua
Érintett rendszer(ek):
- Dahua ASI7213X-T1 v1.000.10Be006.0.R.201213-as firmware-verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-2335)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2022-2337)/súlyos;
- Authentication Bypass by Capture-replay (CVE-2022-2334)/súlyos;
- Generation of Error Message Containing Sensitive Information (CVE-2022-2338)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-2336)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-193-01

Bejelentés dátuma: 2022.07.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy P5 V01.401.102-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input (CVE-2022-34756)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-34757)/közepes;
- Improper Input Validation (CVE-2022-34758)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.07.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Acti9 PowerTag Link C (A9XELC10-A) V1.7.5 és korábbi verziói;
- Acti9 PowerTag Link C (A9XELC10-B) V2.12.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Privilege Management (CVE-2022-34754)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.07.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SpaceLogic C-Bus Home Controller (5200WHC2, korábbi nevén C-Bus Wiser Homer Controller MK2) V1.31.460-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-34753)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.07.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- OPC UA Modicon Communication Module (BMENUA0100) V1.10-es és korábbi verziói;
- X80 advanced RTU Communication Module (BMENOR2200H) V1.0 verziója;
- X80 advanced RTU Communication Module (BMENOR2200H) V2.01-es és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-34759)/súlyos;
- Infinite Loop (CVE-2022-34760)/súlyos;
- NULL Pointer Dereference (CVE-2022-34761)/súlyos;
- Path Traversal (CVE-2022-34762)/közepes;
- Insufficient Verification of Data Authenticity (CVE-2022-34763)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-34764)/közepes;
- External Control of File Name or Path (CVE-2022-34765)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid v33.1 minden verziója;
- Parasolid v34.0 minden, v34.0.250-nél korábbi verziója;
- Parasolid v34.1 minden, v34.1.233-nál korábbi verziója;
- Simcenter Femap minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-34465)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM GridEdge Essential ARM (6MD7881-2AA30) minden verziója;
- SICAM GridEdge Essential Intel (6MD7881-2AA40) minden, v2.7.3-nál korábbi verziója;
- SICAM GridEdge Essential with GDS ARM (6MD7881-2AA10) minden verziója;
- SICAM GridEdge Essential with GDS Intel(6MD7881-2AA20) minden, v2.7.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-34464)/közepes;
Javítás: Egyes érintett verziókhoz elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) minden verziója;
- SCALANCE X200-4P IRT (6GK5200-4AH10-2BA3) minden verziója;
- SCALANCE X201-3P IRT (6GK5201-3BH00-2BA3) minden verziója;
- SCALANCE X201-3P IRT (6GK5201-3BH10-2BA3) minden verziója;
- SCALANCE X201-3P IRT PRO (6GK5201-3BH00-2BD2) minden verziója;
- SCALANCE X201-3P IRT PRO (6GK5201-3JR10-2BA6) minden verziója;
- SCALANCE X202-2IRT (6GK5202-2BB00-2BA3) minden verziója;
- SCALANCE X202-2IRT (6GK5202-2BB10-2BA3) minden verziója;
- SCALANCE X202-2P IRT (6GK5202-2BH00-2BA3) minden verziója;
- SCALANCE X202-2P IRT (6GK5202-2BH10-2BA3) minden verziója;
- SCALANCE X202-2P IRT PRO (6GK5202-2JR00-2BA6) minden verziója;
- SCALANCE X202-2P IRT PRO (6GK5202-2JR10-2BA6) minden verziója;
- SCALANCE X204-2 (6GK5204-2BB10-2AA3)minden, v5.2.6-nál korábbi verziója;
- SCALANCE X204-2FM (6GK5204-2BB11-2AA3)minden, v5.2.6-nál korábbi verziója;
- SCALANCE X204-2LD (6GK5204-2BC10-2AA3)minden, v5.2.6-nál korábbi verziója;
- SCALANCE X204-2LD TS (6GK5204-2BC10-2CA2) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X204-2TS (6GK5204-2BB10-2CA2) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA00-2BA3) minden verziója;
- SCALANCE X204IRT (6GK5204-0BA10-2BA3) minden verziója;
- SCALANCE X204IRT PRO (6GK5204-0JA00-2BA6) minden verziója;
- SCALANCE X204IRT PRO (6GK5204-0JA10-2BA6) minden verziója;
- SCALANCE X206-1 (6GK5206-1BB10-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X206-1LD (6GK5206-1BC10-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X208 (6GK5208-0BA10-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X208PRO (6GK5208-0HA10-2AA6) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X212-2 (6GK5212-2BB00-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X212-2LD (6GK5212-2BC00-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X216 (6GK5216-0BA00-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE X224 (6GK5224-0BA00-2AA3) minden, v5.2.6-nál korábbi verziója;
- SCALANCE XF201-3P IRT (6GK5201-3JR00-2BA6) minden verziója;
- SCALANCE XF202-2P IRT (6GK5202-2BH00-2BD2) minden verziója;
- SCALANCE XF204 (6GK5204-0BA00-2AF2) minden, v5.2.6-nál korábbi verziója;
- SCALANCE XF204-2 (6GK5204-2BC00-2AF2) minden, v5.2.6-nál korábbi verziója;
- SCALANCE XF204-2BA IRT (6GK5204-2AA00-2BD2) minden verziója;
- SCALANCE XF204IRT (6GK5204-0BA00-2BF2) minden verziója;
- SCALANCE XF204IRT (6GK5204-0BA10-2BF2) minden verziója;
- SCALANCE XF206-1 (6GK5206-1BC00-2AF2) minden, v5.2.6-nál korábbi verziója;
- SCALANCE XF208 (6GK5208-0BA00-2AF2) minden, v5.2.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Insufficiently Random Values (CVE-2022-26647)/súlyos;
- Classic Buffer Overflow (CVE-2022-26648)/súlyos;
- Classic Buffer Overflow (CVE-2022-26649)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- PADS Standard/Plus Viewer minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-34272)/súlyos;
- Out-of-bounds Write (CVE-2022-34273)/súlyos;
- Out-of-bounds Write (CVE-2022-34274)/súlyos;
- Out-of-bounds Write (CVE-2022-34275)/súlyos;
- Out-of-bounds Write (CVE-2022-34276)/súlyos;
- Out-of-bounds Read (CVE-2022-34277)/súlyos;
- Out-of-bounds Read (CVE-2022-34278)/súlyos;
- Out-of-bounds Read (CVE-2022-34279)/súlyos;
- Out-of-bounds Read (CVE-2022-34280)/súlyos;
- Out-of-bounds Read (CVE-2022-34281)/súlyos;
- Out-of-bounds Read (CVE-2022-34282)/súlyos;
- Out-of-bounds Read (CVE-2022-34283)/súlyos;
- Out-of-bounds Write (CVE-2022-34284)/súlyos;
- Out-of-bounds Read (CVE-2022-34285)/alacsony;
- Out-of-bounds Write (CVE-2022-34286)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-34287)/alacsony;
- Out-of-bounds Read (CVE-2022-34288)/alacsony;
- Out-of-bounds Write (CVE-2022-34289)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-34290)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-34291)/alacsony;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT 

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Teamcenter Visualization V13.3 minden, 13.3.0.5-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden verziója;
- JT2go minden, 13.3.0.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based buffer Overflow (CVE-2022-2069)/súlyos;
Javítás: Egyes érintett termékekhez elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 8 kompatibilis Mendix Excel Importer Module minden, v9.2.2-nél korábbi verziója;
- Mendix 9 kompatibilis Mendix Excel Importer Module minden, v10.1.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- XML Entity Expansion (CVE-2022-34467)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX MX5000 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROXMX5000RE minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1400 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1500 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1501 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1510 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1511 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1512 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1524 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX1536 minden, 2.15.1-nél korábbi verziója;
- RUGGEDCOM ROX RX5000 minden, 2.15.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-29560)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, v2022.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-34748)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC MV540 H (6GF3540-0GE10) minden, v3.3-nál korábbi verziója;
- SIMATIC MV540 S (6GF3540-0CD10) minden, v3.3-nál korábbi verziója;
- SIMATIC MV550 H (6GF3550-0GE10) minden, v3.3-nál korábbi verziója;
- SIMATIC MV550 S (6GF3550-0CD10) minden, v3.3-nál korábbi verziója;
- SIMATIC MV560 U (6GF3560-0LE10) minden, v3.3-nál korábbi verziója;
- SIMATIC MV560 X (6GF3560-0HE10) minden, v3.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficient Session Expiration (CVE-2022-33137)/súlyos;
- Missing Authentication for Critical Function (CVE-2022-33138)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.07.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 9-et használó Mendix alkalmazások minden, v9.11 és v9.15 közötti verziója;
- Mendix 9-et (v9.12-t) használó Mendix alkalmazások minden, v9.12.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Injection (CVE-2022-34466)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.