ICS sérülékenységek CCCLXVII

Sérülékenységek FANUC, Siemens, Schneider Electric, PHOENIX CONTACT, B. Braun, Datakit és Mitsubishi Electric rendszerekben

2023. április 19. - icscybersec

Bejelentés dátuma: 2023.04.11.
Gyártó: FANUC
Érintett rendszer(ek):
- ROBOGUIDE-HandlingPRO 9 Rev.ZD és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-1864)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-101-01

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- OpenPCS 7 V9.1 minden verziója;
- SIMATIC NET PC Software V14 minden verziója;
- SIMATIC NET PC Software V15 minden verziója;
- SIMATIC NET PC Software V16 minden verziója;
- SIMATIC NET PC Software V17 minden verziója;
- SIMATIC NET PC Software V18 minden verziója;
- SIMATIC Process Historian OPC UA Server minden verziója;
- SIMATIC WinCC minden V8.0-nál korábbi verziója;
- SIMATIC WinCC Runtime Professional minden verziója;
- SIMATIC WinCC Unified PC Runtime minden, V18.0 UPD 1 SR 1-nél korábbi verziója;
- TeleControl Server Basic V3 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-44725)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- JT Open minden, V11.3.2.0-nál korábbi verziója;
- JT Utilities minden, V13.3.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-29053)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- TIA Portal V15 minden verziója;
- TIA Portal V16 minden verziója;
- TIA Portal V17 minden verziója;
- TIA Portal V18 minden, v18 Update 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-26293)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 5 6MD85 (CP200) minden verziója;
- SIPROTEC 5 6MD85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 6MD86 (CP200) minden verziója;
- SIPROTEC 5 6MD86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 6MD89 (CP300) minden verziója;
- SIPROTEC 5 6MU85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7KE85 (CP200) minden verziója;
- SIPROTEC 5 7KE85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SA82 (CP100) minden verziója;
- SIPROTEC 5 7SA82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SA84 (CP200) minden verziója;
- SIPROTEC 5 7SA86 (CP200) minden verziója;
- SIPROTEC 5 7SA86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SA87 (CP200) minden verziója;
- SIPROTEC 5 7SA87 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SD82 (CP100) minden verziója;
- SIPROTEC 5 7SD82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SD84 (CP200) minden verziója;
- SIPROTEC 5 7SD86 (CP200) minden verziója;
- SIPROTEC 5 7SD86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SD87 (CP200) minden verziója;
- SIPROTEC 5 7SD87 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SJ81 (CP100) minden verziója;
- SIPROTEC 5 7SJ81 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SJ82 (CP100) minden verziója;
- SIPROTEC 5 7SJ82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SJ85 (CP200) minden verziója;
- SIPROTEC 5 7SJ85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SJ86 (CP200) minden verziója;
- SIPROTEC 5 7SJ86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SK82 (CP100) minden verziója;
- SIPROTEC 5 7SK82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SK85 (CP200) minden verziója;
- SIPROTEC 5 7SK85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SL82 (CP100) minden verziója;
- SIPROTEC 5 7SL82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SL86 (CP200) minden verziója;
- SIPROTEC 5 7SL86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SL87 (CP200) minden verziója;
- SIPROTEC 5 7SL87 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SS85 (CP200) minden verziója;
- SIPROTEC 5 7SS85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7ST85 (CP200) minden verziója;
- SIPROTEC 5 7ST85 (CP300) minden verziója;
- SIPROTEC 5 7ST86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SX82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7SX85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7UM85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7UT82 (CP100) minden verziója;
- SIPROTEC 5 7UT82 (CP150) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7UT85 (CP200) minden verziója;
- SIPROTEC 5 7UT85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7UT86 (CP200) minden verziója;
- SIPROTEC 5 7UT86 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7UT87 (CP200) minden verziója;
- SIPROTEC 5 7UT87 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7VE85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7VK87 (CP200) minden verziója;
- SIPROTEC 5 7VK87 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 7VU85 (CP300) minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 Communication Module ETH-BA-2EL minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 Communication Module ETH-BB-2FO minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 Communication Module ETH-BD-2FO minden, v9.40-nél korábbi verziója;
- SIPROTEC 5 Compact 7SX800 (CP050) minden, v9.40-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-28766)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- CP-8031 MASTER MODULE (6MF2803-1AA00) minden, CPCI85 V05-nél korábbi verziója;
- CP-8050 MASTER MODULE (6MF2805-0AA00) minden, CPCI85 V05-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-28489)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC IPC1047 minden verziója;
- SIMATIC IPC1047E minden, 4.09.00.25611-es verziónál korábbi, Windows-on, Adaptec maxView Storage Manager-rel telepített verziója;
- SIMATIC IPC647D minden verziója;
- SIMATIC IPC647E minden, 4.09.00.25611-es verziónál korábbi, Windows-on, Adaptec maxView Storage Manager-rel telepített verziója;
- SIMATIC IPC847D minden verziója;
- SIMATIC IPC847E minden, 4.09.00.25611-es verziónál korábbi, Windows-on, Adaptec maxView Storage Manager-rel telepített verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-23588)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 1242-7 V2 (6GK7242-7KX31-0XE0) minden verziója;
- SIMATIC CP 1243-1 (6GK7243-1BX30-0XE0) minden verziója;
- SIMATIC CP 1243-1 DNP3 (incl. SIPLUS variants) minden verziója;
- SIMATIC CP 1243-1 IEC (incl. SIPLUS variants) minden verziója;
- SIMATIC CP 1243-7 LTE EU (6GK7243-7KX30-0XE0) minden verziója;
- SIMATIC CP 1243-7 LTE US (6GK7243-7SX30-0XE0) minden verziója;
- SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) minden verziója;
- SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) minden verziója;
- SIMATIC CP 1542SP-1 IRC (6GK7542-6VX00-0XE0) minden verziója;
- SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) minden verziója;
- SIMATIC CP 443-1 (6GK7443-1EX30-0XE0) minden, V3.3-nál korábbi verziója;
- SIMATIC CP 443-1 (6GK7443-1EX30-0XE1) minden, V3.3-nál korábbi verziója;
- SIMATIC CP 443-1 Advanced (6GK7443-1GX30-0XE0) minden, V3.3-nál korábbi verziója;
- SIMATIC IPC DiagBase minden verziója;
- SIMATIC IPC DiagMonitor minden verziója;
- SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (6AG2542-6VX00-4XE0) minden verziója;
- SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) minden verziója;
- SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) minden verziója;
- SIPLUS NET CP 1242-7 V2 (6AG1242-7KX31-7XE0) minden verziója;
- SIPLUS NET CP 443-1 (6AG1443-1EX30-4XE0) minden, V3.3-nál korábbi verziója;
- SIPLUS NET CP 443-1 Advanced (6AG1443-1GX30-4XE0) minden, V3.3-nál korábbi verziója;
- SIPLUS S7-1200 CP 1243-1 (6AG1243-1BX30-2AX0) minden verziója;
- SIPLUS S7-1200 CP 1243-1 RAIL (6AG2243-1BX30-1XE0) minden verziója;
- SIPLUS TIM 1531 IRC (6AG1543-1MX00-7XE0) minden, V2.3.6-nál korábbi verziója;
- TIM 1531 IRC (6GK7543-1MX00-0XE0) minden, V2.3.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2022-43716)/súlyos;
- Deadlock (CVE-2022-43767)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-43768)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XCM332 (6GK5332-0GA01-2AC2) minden, 2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2021-46828)/súlyos;
- Use After Free (CVE-2022-1652)/súlyos;
- Race Condition (CVE-2022-1729)/súlyos;
- Use After Free (CVE-2022-30065)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permissions (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Use After Free (CVE-2022-40674)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7 kompatibilies Mendix elfelejtett jelszó-modul 3.7.1-nél korábbi verziói;
- Mendix 8 kompatibilies Mendix elfelejtett jelszó-modul 4.1.1-nél korábbi verziói;
- Mendix 9 kompatibilies Mendix elfelejtett jelszó-modul 5.1.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Response Discrepancy (CVE-2023-27464)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion ALM minden, V2304.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2023-28828)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.2.0.2-nél korábbi verziója;
- Teamcenter Visualization V13.2 minden, V13.2.0.13-nál korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.9-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden, V14.0.0.5-nél korábbi verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.7-nél korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-1709)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X201-3P IRT (6GK5201-3BH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X201-3P IRT PRO (6GK5201-3JR00-2BA6) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2IRT (6GK5202-2BB00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2IRT (6GK5202-2BB10-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2P IRT (6GK5202-2BH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X202-2P IRT PRO (6GK5202-2JR00-2BA6) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X204-2 (6GK5204-2BB10-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X204-2FM (6GK5204-2BB11-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X204-2LD (6GK5204-2BC10-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X204-2LD TS (6GK5204-2BC10-2CA2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X204-2TS (6GK5204-2BB10-2CA2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA10-2BA3) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X204IRT PRO (6GK5204-0JA00-2BA6) minden, V5.5.2-nél korábbi verziója;
- SCALANCE X206-1 (6GK5206-1BB10-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X206-1LD (6GK5206-1BC10-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X208 (6GK5208-0BA10-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X208PRO (6GK5208-0HA10-2AA6) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X212-2 (6GK5212-2BB00-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X212-2LD (6GK5212-2BC00-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X216 (6GK5216-0BA00-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X224 (6GK5224-0BA00-2AA3) minden, V5.2.6-nél korábbi verziója;
- SCALANCE X302-7 EEC (230V, coated) (6GK5302-7GD00-3GA3) minden verziója;
- SCALANCE X302-7 EEC (230V) (6GK5302-7GD00-3EA3) minden verziója;
- SCALANCE X302-7 EEC (24V, coated) (6GK5302-7GD00-1GA3) minden verziója;
- SCALANCE X302-7 EEC (24V) (6GK5302-7GD00-1EA3) minden verziója;
- SCALANCE X302-7 EEC (2x 230V, coated) (6GK5302-7GD00-4GA3) minden verziója;
- SCALANCE X302-7 EEC (2x 230V) (6GK5302-7GD00-4EA3) minden verziója;
- SCALANCE X302-7 EEC (2x 24V, coated) (6GK5302-7GD00-2GA3) minden verziója;
- SCALANCE X302-7 EEC (2x 24V) (6GK5302-7GD00-2EA3) minden verziója;
- SCALANCE X304-2FE (6GK5304-2BD00-2AA3) minden verziója;
- SCALANCE X306-1LD FE (6GK5306-1BF00-2AA3) minden verziója;
- SCALANCE X307-2 EEC (230V, coated) (6GK5307-2FD00-3GA3) minden verziója;
- SCALANCE X307-2 EEC (230V) (6GK5307-2FD00-3EA3) minden verziója;
- SCALANCE X307-2 EEC (24V, coated) (6GK5307-2FD00-1GA3) minden verziója;
- SCALANCE X307-2 EEC (24V) (6GK5307-2FD00-1EA3) minden verziója;
- SCALANCE X307-2 EEC (2x 230V, coated) (6GK5307-2FD00-4GA3) minden verziója;
- SCALANCE X307-2 EEC (2x 230V) (6GK5307-2FD00-4EA3) minden verziója;
- SCALANCE X307-2 EEC (2x 24V, coated) (6GK5307-2FD00-2GA3) minden verziója;
- SCALANCE X307-2 EEC (2x 24V) (6GK5307-2FD00-2EA3) minden verziója;
- SCALANCE X307-3 (6GK5307-3BL00-2AA3) minden verziója;
- SCALANCE X307-3 (6GK5307-3BL10-2AA3) minden verziója;
- SCALANCE X307-3LD (6GK5307-3BM00-2AA3) minden verziója;
- SCALANCE X307-3LD (6GK5307-3BM10-2AA3) minden verziója;
- SCALANCE X308-2 (6GK5308-2FL00-2AA3) minden verziója;
- SCALANCE X308-2 (6GK5308-2FL10-2AA3) minden verziója;
- SCALANCE X308-2LD (6GK5308-2FM00-2AA3) minden verziója;
- SCALANCE X308-2LD (6GK5308-2FM10-2AA3) minden verziója;
- SCALANCE X308-2LH (6GK5308-2FN00-2AA3) minden verziója;
- SCALANCE X308-2LH (6GK5308-2FN10-2AA3) minden verziója;
- SCALANCE X308-2LH+ (6GK5308-2FP00-2AA3) minden verziója;
- SCALANCE X308-2LH+ (6GK5308-2FP10-2AA3) minden verziója;
- SCALANCE X308-2M (6GK5308-2GG00-2AA2) minden verziója;
- SCALANCE X308-2M (6GK5308-2GG10-2AA2) minden verziója;
- SCALANCE X308-2M PoE (6GK5308-2QG00-2AA2) minden verziója;
- SCALANCE X308-2M PoE (6GK5308-2QG10-2AA2) minden verziója;
- SCALANCE X308-2M TS (6GK5308-2GG00-2CA2) minden verziója;
- SCALANCE X308-2M TS (6GK5308-2GG10-2CA2) minden verziója;
- SCALANCE X310 (6GK5310-0FA00-2AA3) minden verziója;
- SCALANCE X310 (6GK5310-0FA10-2AA3) minden verziója;
- SCALANCE X310FE (6GK5310-0BA00-2AA3) minden verziója;
- SCALANCE X310FE (6GK5310-0BA10-2AA3) minden verziója;
- SCALANCE X320-1 FE (6GK5320-1BD00-2AA3) minden verziója;
- SCALANCE X320-1-2LD FE (6GK5320-3BF00-2AA3) minden verziója;
- SCALANCE X408-2 (6GK5408-2FD00-2AA2) minden verziója;
- SCALANCE XF201-3P IRT (6GK5201-3BH00-2BD2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF202-2P IRT (6GK5202-2BH00-2BD2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF204 (6GK5204-0BA00-2AF2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE XF204-2 (6GK5204-2BC00-2AF2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE XF204-2BA IRT (6GK5204-2AA00-2BD2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF204IRT (6GK5204-0BA00-2BF2) minden, V5.5.2-nél korábbi verziója;
- SCALANCE XF206-1 (6GK5206-1BC00-2AF2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE XF208 (6GK5208-0BA00-2AF2) minden, V5.2.6-nél korábbi verziója;
- SCALANCE XR324-12M (230V, hálózati portok az eszköz előlapján) (6GK5324-0GG00-3AR2) minden verziója;
- SCALANCE XR324-12M (230V, hálózati portok az eszköz előlapján) (6GK5324-0GG10-3AR2) minden verziója;
- SCALANCE XR324-12M (230V, hálózati portok az eszköz hátoldalán) (6GK5324-0GG00-3HR2) minden verziója;
- SCALANCE XR324-12M (230V, hálózati portok az eszköz hátoldalán) (6GK5324-0GG10-3HR2) minden verziója;
- SCALANCE XR324-12M (24V, hálózati portok az eszköz előlapján) (6GK5324-0GG00-1AR2) minden verziója;
- SCALANCE XR324-12M (24V, hálózati portok az eszköz előlapján) (6GK5324-0GG10-1AR2) minden verziója;
- SCALANCE XR324-12M (24V, hálózati portok az eszköz hátoldalán) (6GK5324-0GG00-1HR2) minden verziója;
- SCALANCE XR324-12M (24V, hálózati portok az eszköz hátoldalán) (6GK5324-0GG10-1HR2) minden verziója;
- SCALANCE XR324-12M TS (24V) (6GK5324-0GG00-1CR2) minden verziója;
- SCALANCE XR324-12M TS (24V) (6GK5324-0GG10-1CR2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, hálózati portok az eszköz előlapján) (6GK5324-4GG00-3ER2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, hálózati portok az eszköz előlapján) (6GK5324-4GG10-3ER2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, hálózati portok az eszköz hátoldalán) (6GK5324-4GG00-3JR2) minden verziója;
- SCALANCE XR324-4M EEC (100-240VAC/60-250VDC, hálózati portok az eszköz hátoldalán) (6GK5324-4GG10-3JR2) minden verziója;
- SCALANCE XR324-4M EEC (24V, hálózati portok az eszköz előlapján) (6GK5324-4GG00-1ER2) minden verziója;
- SCALANCE XR324-4M EEC (24V, hálózati portok az eszköz előlapján) (6GK5324-4GG10-1ER2) minden verziója;
- SCALANCE XR324-4M EEC (24V, hálózati portok az eszköz hátoldalán) (6GK5324-4GG00-1JR2) minden verziója;
- SCALANCE XR324-4M EEC (24V, hálózati portok az eszköz hátoldalán) (6GK5324-4GG10-1JR2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, hálózati portok az eszköz előlapján) (6GK5324-4GG00-4ER2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, hálózati portok az eszköz előlapján) (6GK5324-4GG10-4ER2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, hálózati portok az eszköz hátoldalán) (6GK5324-4GG00-4JR2) minden verziója;
- SCALANCE XR324-4M EEC (2x 100-240VAC/60-250VDC, hálózati portok az eszköz hátoldalán) (6GK5324-4GG10-4JR2) minden verziója;
- SCALANCE XR324-4M EEC (2x 24V, hálózati portok az eszköz előlapján) (6GK5324-4GG00-2ER2) minden verziója;
- SCALANCE XR324-4M EEC (2x 24V, hálózati portok az eszköz előlapján) (6GK5324-4GG10-2ER2) minden verziója;
- SCALANCE XR324-4M EEC (2x 24V, hálózati portok az eszköz hátoldalán) (6GK5324-4GG00-2JR2) minden verziója;
- SCALANCE XR324-4M EEC (2x 24V, hálózati portok az eszköz hátoldalán) (6GK5324-4GG10-2JR2) minden verziója;
- SCALANCE XR324-4M PoE (230V, hálózati portok az eszköz előlapján) (6GK5324-4QG00-3AR2) minden verziója;
- SCALANCE XR324-4M PoE (230V, hálózati portok az eszköz hátoldalán) (6GK5324-4QG00-3HR2) minden verziója;
- SCALANCE XR324-4M PoE (24V, hálózati portok az eszköz előlapján) (6GK5324-4QG00-1AR2) minden verziója;
- SCALANCE XR324-4M PoE (24V, hálózati portok az eszköz hátoldalán) (6GK5324-4QG00-1HR2) minden verziója;
- SCALANCE XR324-4M PoE TS (24V, hálózati portok az eszköz előlapján) (6GK5324-4QG00-1CR2) minden verziója;
- SIPLUS NET SCALANCE X202-2P IRT (6AG1202-2BH00-2BA3) minden, V5.5.2-nél korábbi verziója;
- SIPLUS NET SCALANCE X308-2 (6AG1308-2FL10-4AA3) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2020-28895)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-35198)/kritikus;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2023 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-27044)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy Builder Installer 1.7.23-as és régebbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2022-34755)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU (BMXP34* sorozatszámú eszközök) SV3.51-nél korábbi verziói;
- Modicon M580 CPU (BMEP* és BMEH* sorozatszámú eszközök) V4.10-esnél korábbi verziói;
- Modicon M580 CPU Safety (BMEP58*S és BMEH58*S sorozatszámú eszközök) minden verziója;
- Modicon Momentum Unity M1E Processor (171CBU*) minden verziója;
- Modicon MC80 (BMKC80) minden verziója;
- Legacy Modicon Quantum (140CPU65*) minden verziója;
- Legacy Modicon Premium CPUs (TSXP57*) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-25619)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-25620)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- APC Easy UPS Online Monitoring Software V2.5-GA-01-22320 és korábbi verziói (Windows 10, 11, Windows Server 2016, 2019, 2022 verziókra telepíthető változatok);
- Schneider Electric Easy UPS Online Monitoring Software V2.5-GS-01-22320és korábbi verziói (Windows 10, 11, Windows Server 2016, 2019, 2022 verziókra telepíthető változatok);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-29411)/kritikus;
- Improper Handling of Case Sensitivity (CVE-2023-29412)/kritikus;
- Missing Authentication for Critical Function (CVE-2023-29413)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Control Expert V15.1-es és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2023-27976)/súlyos;
- Improper Privilege Management (CVE-2023-1548)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- InsightHome v1.16 Build 004-es és korábbi verziói;
- InsightFacility v1.16 Build 004-es és korábbi verziói;
- Conext™ Gateway v1.16 Build 004-es és korábbi verziói (2019 óta nem fejlesztett és támogatott szoftver);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2023-29410)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PacDrive 3 Controllers LMC Eco/Pro/Pro2 minden verziója;
- PacDrive Controller LMC078 minden verziója;
- Modicon Controller M241
- Modicon Controller M251 minden verziója;
- Modicon Controller M262 minden verziója;
- Modicon Controller M258
- Modicon Controller LMC058 minden verziója;
- Modicon Controller M218 minden verziója;
- HMISCU Controller minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-4224)/súlyos;
- Improper Validation of Integrity Check Value (CVE-2023-28355)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-4046)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések bevezetését javasolja;
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.04.11.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- ENERGY AXC PU V04.15.00.00-nál korábbi verziói;
- Infobox V02.02.00.00 és korábbi verziói;
- SMARTRTU AXC IG V01.02.00.01 és korábbi verziói;
- SMARTRTU AXC SG V01.08.00.02 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-1109)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-004/

Bejelentés dátuma: 2023.04.13.
Gyártó: B. Braun
Érintett rendszer(ek):
- Wi-Fi-s Battery pack SP (SN 138853 és magasabb sorozatszámú eszközök) 053L000091-es szoftverrel (világszinten)/054U000091-es szoftverrel (U.S.) és 053L000092-es szoftverrel (világszinten)/054U000092-es szoftverrel (U.S.)
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper neutralization of directives in dynamically evaluated code (CVE-2023-0888)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-103-01

Bejelentés dátuma: 2023.04.13.
Gyártó: Datakit
Érintett rendszer(ek):
- CrossCAD/Ware_x64 programkönyvtár minden, 2023.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-22295)/alacsony;
- Out-of-bounds Read (CVE-2023-22321)/alacsony;
- Out-of-bounds Read (CVE-2023-22354)/alacsony;
- Out-of-bounds Read (CVE-2023-22846)/alacsony;
- Out-of-bounds Write (CVE-2023-23579)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-103-14

Bejelentés dátuma: 2023.04.13.
Gyártó: Mitsubishi Electric India
Érintett rendszer(ek):
- Mitsubishi Electric India GC-ENET-COM 16XXXXXXXXX kezdetű sorozatszámú eszözei;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Signal Handler Race Condition (CVE-2023-1285)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-103-15

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!

Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCLXVII

Sérülékenységek FANUC, Siemens, Schneider Electric, PHOENIX CONTACT, B. Braun, Datakit és Mitsubishi Electric rendszerekben

A bejegyzés trackback címe:

Kommentek:

Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS sérülékenységek CCCLXVII

Sérülékenységek FANUC, Siemens, Schneider Electric, PHOENIX CONTACT, B. Braun, Datakit és Mitsubishi Electric rendszerekben

Ajánlott bejegyzések:

A bejegyzés trackback címe:

Kommentek: