Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCLII

Sérülékenységek ICONICS, Mitsubishi Electric, Schneider Electric, Contec, Siemens, Prosys OPC, Fuji Electric, Rockwell Automation, ARC Informatique és Delta Industrial Automation rendszerekben

2022. december 21. - icscybersec

Bejelentés dátuma: 2022.12.13.
Gyártók: ICONICS, Mitsubishi Electric 
Érintett rendszer(ek):
- ICONICS Suite (beleértve a GENESIS64, Hyper Historian, AnalytiX és MobileHMI termékeket is);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-40264)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-347-01

Bejelentés dátuma: 2022.12.13.
Gyártó: Schneider Electric 
Érintett rendszer(ek):
- APC Easy UPS Online 2.5-GA és korábbi verziói (Windows 7, 10, 11, Windows Server 2016, 2019, 2022);
- APC Easy UPS Online 2.5-GA-01-22261 és korábbi verziói (Windows 11, Windows Server 2019, 2022);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-42970)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2022-42971)/kritikus;
- Incorrect Permission Assignment for Critical Resource (CVE-2022-42972)/súlyos;
- Use of Hard-coded Credentials (CVE-2022-42973)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Schneider Electric 
Érintett rendszer(ek):
- EcoStruxure Power Commission V2.25 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2022-4062)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.12.13.
Gyártó: Schneider Electric 
Érintett rendszer(ek):
- SAITEL DR RTU Baseline_11.06.01-től Baseline_11.06.14-ig terjedő firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds write (CVE-2020-6996)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.12.13.
Gyártó: Contec 
Érintett rendszer(ek):
- CONPROSYS HMI System 3.4.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-44456)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-347-03

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- APOGEE PXC sorozatú eszközök (BACnet) minden, 3.5.5-ösnél korábbi verziója;
- APOGEE PXC sorozatú eszközök (P2 Ethernet) minden, 2.8.20-asnél korábbi verziója;
- TALON TC sorozatú eszközök (BACnet) minden, 3.5.5-ösnél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Predictable Exact Value from Previous Values (CVE-2020-28388)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Calibre ICE 2022.4-es és újabb verziói;
- Mcenter 5.2.1.0 és újabb verziói;
- SCALANCE X-200RNA switch család 3.2.7-es és újabb verziói;
- SICAM GridPass (6MD7711-2AA00-1EA0) 1.80-as és újabb verziói;
- SIMATIC RTLS Locating Manager (6GT2780-0DA00) 2.13-as és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-3602)/súlyos;
- Classic Buffer Overflow (CVE-2022-3786)/súlyos;
Javítás: Egy érintett termékhez már elérhető a javítást tartalmazó Béta-verzió, de minden máshoz csak a kockázatcsökkentő intézkedéseket publikálta a gyártó.
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Polarion ALM (application lifecycle management software) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Injection (CVE-2022-46265)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Simcenter STAR-CCM+ (computational fluid dynamics software) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-43517)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC WinCC OA HMI V3.15 minden verziója;
- SIMATIC WinCC OA HMI V3.16 minden, V3.16 P035-nél korábbi verziója;
- SIMATIC WinCC OA HMI V3.17 minden, V3.17 P024-nél korábbi verziója; 
- SIMATIC WinCC OA HMI V3.18 minden, V3.18 P014-nél korábbi verziója; 
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Argument Injection (CVE-2022-44731)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens PLM Help Server (documentation server)
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-44575)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) minden verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden verziója;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) minden verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden verziója;
- SCALANCE S615 EEC (6GK5615-0AA01-2AA2) minden verziója;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0TA0) minden verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0AA0) minden verziója;
- SCALANCE W1788-1 M12 (6GK5788-1GY01-0AA0) minden verziója;
- SCALANCE W1788-2 EEC M12 (6GK5788-2GY01-0TA0) minden verziója;
- SCALANCE W1788-2 M12 (6GK5788-2GY01-0AA0) minden verziója;
- SCALANCE W1788-2IA M12 (6GK5788-2HY01-0AA0) minden verziója;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AA0) minden verziója;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AA0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AC0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AB0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA6) minden verziója;
- SCALANCE W734-1 RJ45 (USA) (6GK5734-1FX00-0AB6) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AA0) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AB0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AA0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AB0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AA0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AB0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AA0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AB0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TA0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AC0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA6) minden verziója;
- SCALANCE W774-1 RJ45 (USA) (6GK5774-1FX00-0AB6) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AA0) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AB0) minden verziója;
- SCALANCE W778-1 M12 EEC (6GK5778-1GY00-0TA0) minden verziója;
- SCALANCE W778-1 M12 EEC (USA) (6GK5778-1GY00-0TB0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AA0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AA0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AC0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AA0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AB0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AA0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AB0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AA0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AB0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AA0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AB0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AA0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TA0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TC0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AA0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AB0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AC0) minden verziója;
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden verziója;
- SCALANCE WAM766-1 (6GK5766-1GE00-7DA0) minden verziója;
- SCALANCE WAM766-1 (6GK5766-1GE00-7DB0) minden verziója;
- SCALANCE WAM766-1 6GHz (6GK5766-1JE00-7DA0) minden verziója;
- SCALANCE WAM766-1 EEC (6GK5766-1GE00-7TA0) minden verziója;
- SCALANCE WAM766-1 EEC (6GK5766-1GE00-7TB0) minden verziója;
- SCALANCE WAM766-1 EEC 6GHz (6GK5766-1JE00-7TA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden verziója;
- SCALANCE WUM766-1 (6GK5766-1GE00-3DA0) minden verziója;
- SCALANCE WUM766-1 (6GK5766-1GE00-3DB0) minden verziója;
- SCALANCE WUM766-1 6GHz (6GK5766-1JE00-3DA0) minden verziója;
- SCALANCE XB205-3 (SC, PN) (6GK5205-3BB00-2AB2) minden verziója;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BD00-2TB2) minden verziója;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BB00-2TB2) minden verziója;
- SCALANCE XB205-3 (ST, PN) (6GK5205-3BD00-2AB2) minden verziója;
- SCALANCE XB205-3LD (SC, E/IP) (6GK5205-3BF00-2TB2) minden verziója;
- SCALANCE XB205-3LD (SC, PN) (6GK5205-3BF00-2AB2) minden verziója;
- SCALANCE XB208 (E/IP) (6GK5208-0BA00-2TB2) minden verziója;
- SCALANCE XB208 (PN) (6GK5208-0BA00-2AB2) minden verziója;
- SCALANCE XB213-3 (SC, E/IP) (6GK5213-3BD00-2TB2) minden verziója;
- SCALANCE XB213-3 (SC, PN) (6GK5213-3BD00-2AB2) minden verziója;
- SCALANCE XB213-3 (ST, E/IP) (6GK5213-3BB00-2TB2) minden verziója;
- SCALANCE XB213-3 (ST, PN) (6GK5213-3BB00-2AB2) minden verziója;
- SCALANCE XB213-3LD (SC, E/IP) (6GK5213-3BF00-2TB2) minden verziója;
- SCALANCE XB213-3LD (SC, PN) (6GK5213-3BF00-2AB2) minden verziója;
- SCALANCE XB216 (E/IP) (6GK5216-0BA00-2TB2) minden verziója;
- SCALANCE XB216 (PN) (6GK5216-0BA00-2AB2) minden verziója;
- SCALANCE XC206-2 (SC) (6GK5206-2BD00-2AC2) minden verziója;
- SCALANCE XC206-2 (ST/BFOC) (6GK5206-2BB00-2AC2) minden verziója;
- SCALANCE XC206-2G PoE (6GK5206-2RS00-2AC2) minden verziója;
- SCALANCE XC206-2G PoE (54 V DC) (6GK5206-2RS00-5AC2) minden verziója;
- SCALANCE XC206-2G PoE EEC (54 V DC) (6GK5206-2RS00-5FC2) minden verziója;
- SCALANCE XC206-2SFP (6GK5206-2BS00-2AC2) minden verziója;
- SCALANCE XC206-2SFP EEC (6GK5206-2BS00-2FC2) minden verziója;
- SCALANCE XC206-2SFP G (6GK5206-2GS00-2AC2) minden verziója;
- SCALANCE XC206-2SFP G (EIP DEF.) (6GK5206-2GS00-2TC2) minden verziója;
- SCALANCE XC206-2SFP G EEC (6GK5206-2GS00-2FC2) minden verziója;
- SCALANCE XC208 (6GK5208-0BA00-2AC2) minden verziója;
- SCALANCE XC208EEC (6GK5208-0BA00-2FC2) minden verziója;
- SCALANCE XC208G (6GK5208-0GA00-2AC2) minden verziója;
- SCALANCE XC208G (EIP def.) (6GK5208-0GA00-2TC2) minden verziója;
- SCALANCE XC208G EEC (6GK5208-0GA00-2FC2) minden verziója;
- SCALANCE XC208G PoE (6GK5208-0RA00-2AC2) minden verziója;
- SCALANCE XC208G PoE (54 V DC) (6GK5208-0RA00-5AC2) minden verziója;
- SCALANCE XC216 (6GK5216-0BA00-2AC2) minden verziója;
- SCALANCE XC216-3G PoE (6GK5216-3RS00-2AC2) minden verziója;
- SCALANCE XC216-3G PoE (54 V DC) (6GK5216-3RS00-5AC2) minden verziója;
- SCALANCE XC216-4C (6GK5216-4BS00-2AC2) minden verziója;
- SCALANCE XC216-4C G (6GK5216-4GS00-2AC2) minden verziója;
- SCALANCE XC216-4C G (EIP Def.) (6GK5216-4GS00-2TC2) minden verziója;
- SCALANCE XC216-4C G EEC (6GK5216-4GS00-2FC2) minden verziója;
- SCALANCE XC216EEC (6GK5216-0BA00-2FC2) minden verziója;
- SCALANCE XC224 (6GK5224-0BA00-2AC2) minden verziója;
- SCALANCE XC224-4C G (6GK5224-4GS00-2AC2) minden verziója;
- SCALANCE XC224-4C G (EIP Def.) (6GK5224-4GS00-2TC2) minden verziója;
- SCALANCE XC224-4C G EEC (6GK5224-4GS00-2FC2) minden verziója;
- SCALANCE XF204 (6GK5204-0BA00-2GF2) minden verziója;
- SCALANCE XF204 DNA (6GK5204-0BA00-2YF2) minden verziója;
- SCALANCE XF204-2BA (6GK5204-2AA00-2GF2) minden verziója;
- SCALANCE XF204-2BA DNA (6GK5204-2AA00-2YF2) minden verziója;
- SCALANCE XM408-4C (6GK5408-4GP00-2AM2) minden verziója;
- SCALANCE XM408-4C (L3 int.) (6GK5408-4GQ00-2AM2) minden verziója;
- SCALANCE XM408-8C (6GK5408-8GS00-2AM2) minden verziója;
- SCALANCE XM408-8C (L3 int.) (6GK5408-8GR00-2AM2) minden verziója;
- SCALANCE XM416-4C (6GK5416-4GS00-2AM2) minden verziója;
- SCALANCE XM416-4C (L3 int.) (6GK5416-4GR00-2AM2) minden verziója;
- SCALANCE XP208 (6GK5208-0HA00-2AS6) minden verziója;
- SCALANCE XP208 (Ethernet/IP) (6GK5208-0HA00-2TS6) minden verziója;
- SCALANCE XP208EEC (6GK5208-0HA00-2ES6) minden verziója;
- SCALANCE XP208PoE EEC (6GK5208-0UA00-5ES6) minden verziója;
- SCALANCE XP216 (6GK5216-0HA00-2AS6) minden verziója;
- SCALANCE XP216 (Ethernet/IP) (6GK5216-0HA00-2TS6) minden verziója;
- SCALANCE XP216EEC (6GK5216-0HA00-2ES6) minden verziója;
- SCALANCE XP216POE EEC (6GK5216-0UA00-5ES6) minden verziója;
- SCALANCE XR324WG (24 x FE, AC 230V) (6GK5324-0BA00-3AR3) minden verziója;
- SCALANCE XR324WG (24 X FE, DC 24V) (6GK5324-0BA00-2AR3) minden verziója;
- SCALANCE XR326-2C PoE WG (6GK5326-2QS00-3AR3) minden verziója;
- SCALANCE XR326-2C PoE WG (without UL) (6GK5326-2QS00-3RR3) minden verziója;
- SCALANCE XR328-4C WG (24XFE, 4XGE, 24V) (6GK5328-4FS00-2AR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (6GK5328-4FS00-2RR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (6GK5328-4FS00-3AR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (6GK5328-4FS00-3RR3) minden verziója;
- SCALANCE XR328-4C WG (28xGE, AC 230V) (6GK5328-4SS00-3AR3) minden verziója;
- SCALANCE XR328-4C WG (28xGE, DC 24V) (6GK5328-4SS00-2AR3) minden verziója;
- SCALANCE XR524-8C, 1x230V (6GK5524-8GS00-3AR2) minden verziója;
- SCALANCE XR524-8C, 1x230V (L3 int.) (6GK5524-8GR00-3AR2) minden verziója;
- SCALANCE XR524-8C, 24V (6GK5524-8GS00-2AR2) minden verziója;
- SCALANCE XR524-8C, 24V (L3 int.) (6GK5524-8GR00-2AR2) minden verziója;
- SCALANCE XR524-8C, 2x230V (6GK5524-8GS00-4AR2) minden verziója;
- SCALANCE XR524-8C, 2x230V (L3 int.) (6GK5524-8GR00-4AR2) minden verziója;
- SCALANCE XR526-8C, 1x230V (6GK5526-8GS00-3AR2) minden verziója;
- SCALANCE XR526-8C, 1x230V (L3 int.) (6GK5526-8GR00-3AR2) minden verziója;
- SCALANCE XR526-8C, 24V (6GK5526-8GS00-2AR2) minden verziója;
- SCALANCE XR526-8C, 24V (L3 int.) (6GK5526-8GR00-2AR2) minden verziója;
- SCALANCE XR526-8C, 2x230V (6GK5526-8GS00-4AR2) minden verziója;
- SCALANCE XR526-8C, 2x230V (L3 int.) (6GK5526-8GR00-4AR2) minden verziója;
- SCALANCE XR528-6M (6GK5528-0AA00-2AR2) minden verziója;
- SCALANCE XR528-6M (2HR2, L3 int.) (6GK5528-0AR00-2HR2) minden verziója;
- SCALANCE XR528-6M (2HR2) (6GK5528-0AA00-2HR2) minden verziója;
- SCALANCE XR528-6M (L3 int.) (6GK5528-0AR00-2AR2) minden verziója;
- SCALANCE XR552-12M (6GK5552-0AA00-2AR2) minden verziója;
- SCALANCE XR552-12M (2HR2, L3 int.) (6GK5552-0AR00-2AR2) minden verziója;
- SCALANCE XR552-12M (2HR2) (6GK5552-0AA00-2HR2) minden verziója;
- SCALANCE XR552-12M (2HR2) (6GK5552-0AR00-2HR2) minden verziója;
- SIPLUS NET SCALANCE XC206-2 (6AG1206-2BB00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC206-2SFP (6AG1206-2BS00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC208 (6AG1208-0BA00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC216-4C (6AG1216-4BS00-7AC2) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2022-34821)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-46140)/közepes;
- Storing Passwords in a Recoverable Format (CVE-2022-46142)/közepes;
- Improper Validation of Specified Quantity in Input (CVE-2022-46143)/alacsony;
- Improper Control of a Resource Through its Lifetime (CVE-2022-46144)/közepes;
Javítás: Egyes érintett termékek esetén elérhető.
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Drive Controller család minden, V3.0.1-nél korábbi verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1200 CPU family (beleértve a SIPLUS változatokat is) V4.6.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU family (beleértve az ET200 CPU-kat és a SIPLUS változatokat is) V3.0.1-nél korábbi verziója;
- SIMATIC S7-1500 Software Controller minden verziója;
- SIMATIC S7-PLCSIM Advanced minden, V5.0-nál korábbi verziója;
- SIPLUS TIM 1531 IRC (6AG1543-1MX00-7XE0) minden verziója;
- TIM 1531 IRC (6GK7543-1MX00-0XE0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-40365)/súlyos;
- Improper Validation of Specified Quantity in Input (CVE-2021-44693)/közepes;
- Improper Validation of Specified Type of Input (CVE-2021-44694)/közepes;
- Improper Validation of Syntactic Correctness of Input (CVE-2021-44695)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X204RNA (HSR) (6GK5204-0BA00-2MB2) minden, V3.2.7-nél korábbi verziója;
- SCALANCE X204RNA (PRP) (6GK5204-0BA00-2KB2) minden, V3.2.7-nél korábbi verziója;
- SCALANCE X204RNA EEC (HSR) (6GK5204-0BS00-2NA3) minden, V3.2.7-nél korábbi verziója;
- SCALANCE X204RNA EEC (PRP) (6GK5204-0BS00-3LA3) minden, V3.2.7-nél korábbi verziója;
- SCALANCE X204RNA EEC (PRP/HSR) (6GK5204-0BS00-3PA3) minden, V3.2.7-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Basic XSS (CVE-2022-46350)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-46351)/közepes;
- Uncontrolled Resource Consumption (CVE-2022-46352)/súlyos;
- Use of Insufficiently Random Values (CVE-2022-46353)/súlyos;
- Improper Access Control (CVE-2022-46354)/alacsony;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-46355)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM PAS/PQS minden, V8.06-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2022-43722)/súlyos;
- Validation of Specified Type of Input (CVE-2022-43723)/súlyos;
- Transmission of Sensitive Information (CVE-2022-43724)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-849072.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden verziója;
- Teamcenter Visualization V13.2 minden, V13.2.0.12-nél korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.8-nál korábbi verziója;
- Teamcenter Visualization V13.3 V13.3.0.8-as és újabb verziói;
- Teamcenter Visualization V14.0 minden, V14.0.0.4-nél korábbi verziója;
- Teamcenter Visualization V14.0 V14.0.0.4-es és újabb verziói;
- Teamcenter Visualization V14.1 minden, V14.1.0.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2022-41278)/alacsony;
- NULL Pointer Dereference (CVE-2022-41279)/alacsony;
- NULL Pointer Dereference (CVE-2022-41280)/alacsony;
- Out-of-bounds Read (CVE-2022-41281)/súlyos;
- Out-of-bounds Read (CVE-2022-41282)/súlyos;
- Out-of-bounds Read (CVE-2022-41283)/súlyos;
- Out-of-bounds Read (CVE-2022-41284)/súlyos;
- Use After Free (CVE-2022-41285)/súlyos;
- Out-of-bounds Read (CVE-2022-41286)/súlyos;
- Divide By Zero (CVE-2022-41287)/alacsony;
- Allocation of Resources Without Limits or Throttling (CVE-2022-41288)/alacsony
- Out-of-bounds Read (CVE-2022-45484)/súlyos;
Javítás: Egyes érintett termékekre elérhető.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-700053.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V33.1 minden, V33.1.264-nél korábbi verziója;
- Parasolid V34.0 minden, V34.0.252-nél korábbi verziója;
- Parasolid V34.1 minden, V34.1.242-nél korábbi verziója;
- Parasolid V35.0 minden, V35.0.170-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-46345)/súlyos;
- Out-of-bounds Write (CVE-2022-46346)/súlyos;
- Out-of-bounds Write (CVE-2022-46347)/súlyos;
- Out-of-bounds Write (CVE-2022-46348)/súlyos;
- Out-of-bounds Read (CVE-2022-46349)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-588101.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 5 6MD85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 6MD85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 6MD86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 6MD86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 6MD89 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 6MU85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7KE85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7KE85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SA82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SA82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SA86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SA86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SA87 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SA87 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SD82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SD82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SD86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SD86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SD87 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SD87 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ81 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ81 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SJ82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SJ85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SK82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SK82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SK85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SK85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SL82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SL82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SL86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SL86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SL87 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SL87 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SS85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SS85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7ST85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7ST85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SX85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7UM85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7UT82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7UT82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7UT85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7UT85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7UT86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7UT86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7UT87 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7UT87 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7VE85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7VK87 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7VK87 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 ETH-BA-2EL kommunikációs modul minden verziója;
- SIPROTEC 5 ETH-BB-2FO kommunikációs modul minden verziója;
- SIPROTEC 5 ETH-BD-2FO kommunikációs modul minden verziója;
- SIPROTEC 5 Compact 7SX800 berendezések (CP050-es CPU változat) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-45044)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-552874.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- Use After Free (CVE-2022-30065)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-333517.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Email Connector minden, V2.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-45936)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-224632.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 5 6MD85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 6MD85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 6MD86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 6MD86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 6MD89 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 6MU85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7KE85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7KE85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SA82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SA86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SA86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SA87 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SA87 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SD82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SD86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SD86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SD87 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SD87 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ81 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SK82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SK85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SK85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SL82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SL86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SL86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SL87 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SL87 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SS85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SS85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7ST85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7ST85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SX85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UM85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT87 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT87 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7VE85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7VK87 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7VK87 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 ETH-BA-2EL kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 ETH-BB-2FO kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 ETH-BD-2FO kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 USART-AB-1EL kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 USART-AC-2EL kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 USART-AD-1FO kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 USART-AE-2FO kommunikációs modul minden, V7.80-asnál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Resource Management Errors (CVE-2015-6574)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-223771.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Workflow Commons minden, V2.4.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-46664)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-210822.pdf

Bejelentés dátuma: 2022.12.15.
Gyártó: Prosys OPC
Érintett rendszer(ek):
- Prosys OPC UA Simulation Server 5.4.0-nál korábbi verziói;
- Prosys OPC UA Modbus Server 1.4.18-5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2022-2967)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-349-01

Bejelentés dátuma: 2022.12.20.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Fuji Electric Tellus Lite V-Simulator 4.0.12.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-3087)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-3085)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-01

Bejelentés dátuma: 2022.12.20.
Gyártó: Rockwell Automation 
Érintett rendszer(ek):
- CompactLogix 5370 20–tól 33-ig terjedő verziói;
- Compact GuardLogix 5370 28–tól 33-ig terjedő verziói;
- ControlLogix 5570 20–tól 33-ig terjedő verziói;
- ControlLogix5570 redundancy 20–tól 33-ig terjedő verziói;
- GuardLogix 5570 20–tól 33-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-3157)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-02

Bejelentés dátuma: 2022.12.20.
Gyártó: ARC Informatique
Érintett rendszer(ek):
- PcVue 15 15.2.2-ig terjedő verziói;
- PcVue 8.10 15.2.3-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2022-4312)/közepes;
- Insertion of Sensitive Information into Log File (CVE-2022-4311)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-03

Bejelentés dátuma: 2022.12.20.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- MicroLogix 1100 minden verziója;
- MicroLogix 1400 A 7.000 és korábbi verziói;
- MicroLogix 1400 B/C 21.007 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-46670)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2022-3166)/súlyos;
Javítás: Nincs a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-04

Bejelentés dátuma: 2022.12.20.
Gyártó: Delta Industrial Automation
Érintett rendszer(ek):
- DX-3021L9-es típusú 4G routerek V1.24-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-4616)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr5318007124

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása