Bejelentés dátuma: 2023.06.22.
Gyártó: Advantech
Érintett rendszer(ek):
- R-SeeNet 2.4.22-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Hard Coded Password (CVE-2023-2611)/kritikus;
- External Control of File Name or Path (CVE-2023-3256)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-173-02

Bejelentés dátuma: 2023.06.23.
Gyártó: WAGO
Érintett rendszer(ek):
- WAGO PFC200 termékcsalád következő sorozatszámú eszközeinek (750-8202/xxx-xxx, 750-8203/xxx-xxx, 750-8204/xxx-xxx, 750-8206/xxx-xxx, 750-8207/xxx-xxx, 750-8208/xxx-xxx, 750-8210/xxx-xxx, 750-8211/xxx-xxx, 750-8212/xxx-xxx, 750-8213/xxx-xxx, 750-8214/xxx-xxx, 750-8216/xxx-xxx, 750-8217/xxx-xxx) 22 Patch 2-nél korábbi firmware-verziói;
- Ethernet Controller 4. generációs termékcsládjának következő sorozatszámú eszközeinek (750-823, 750-332, 750-832/xxx-xxx, 750-862, 750-890/xxx-xxx, 750-891 750-893) 11-esnél korábbi firmware-verziói;
- Ethernet Controller 3. generációs termékcsládjának következő sorozatszámú eszközeinek (750-331, 750-829, 750-831/xxx-xxx, 750-852, 750-880/xxx-xxx, 750-881, 750-882, 750-885/xxx-xxx, 750-889) 17-esnél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial-of-Service (CVE-2023-1619)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-006/

Bejelentés dátuma: 2023.06.27.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Control RTE (SL);
- CODESYS Control RTE (for Beckhoff CX) SL;
- CODESYS Control Win (SL);
- CODESYS PLCWinNT V2;
- CODESYS SP RTE V2;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-22516)/súlyos;
Javítás: Elérhető
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2023.07.13.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa PT-G7828 sorozatú eszközök 6.2-es és korábbi firmware-verziói;
- Moxa PT-508 sorozatú eszközök 3.8-as és korábbi firmware-verziói;
- Moxa PT-7728 sorozatú eszközök 3.8-as és korábbi firmware-verziói;
- Moxa PT-7828 sorozatú eszközök 3.9-es és korábbi firmware-verziói;
- Moxa MDS-G4012 sorozatú eszközök 1.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Recursion (CVE-2009-3563)/n/a;
Javítás: Elérhető a gyártó támogató csapatánál.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230307

Bejelentés dátuma: 2023.07.15.
Gyártó: Advantech
Érintett rendszer(ek):
- WebAccess/SCADA 9.1.4-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Untrusted Pointer Dereference (CVE-2023-1437)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-166-02

Bejelentés dátuma: 2023.07.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation Enhanced HIM 1.001-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Request Forgery (CVE-2023-2746)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-192-01

Bejelentés dátuma: 2023.07.11.
Gyártó: Sensormatic Electronics (Johnson Controls leányvállalat)
Érintett rendszer(ek):
- iSTAR Ultra és iSTAR Ultra LT 6.8.6-nál újabb, de 6.9.2 CU01-nél korábbi firmware-verziói;
- iSTAR Ultra G2 és iSTAR Edge G2 6.9.2 CU01-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-3127)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-192-02

Bejelentés dátuma: 2023.07.11.
Gyártó: Panasonic
Érintett rendszer(ek):
- Panasonic Control FPWIN 7.6.0.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2023-28728)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-28729)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-28730)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-192-03

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- StruxureWare Data Center Expert v7.9.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-37196)/súlyos;
- SQL Injection (CVE-2023-37197)/súlyos;
- Code Injection (CVE-2023-37198)/közepes;
- Code Injection (CVE-2023-37199)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ OPC UA Server Expert SV2.01 SP2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2023-37200)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Accutech Manager Version 2.7 and prior
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-29414)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- HMISCU Controller minden verziója;
- Modicon Controller LMC078 minden verziója;
- Modicon Controller M241 minden verziója;
- Modicon Controller M251 minden verziója;
- Modicon Controller M262 minden verziója;
- Modicon Controller M258 minden verziója;
- Modicon Controller LMC058 minden verziója;
- Modicon Controller M218 minden verziója;
- PacDrive 3 Controllers: LMC Eco/Pro/Pro2 minden verziója;
- SoftSPS embedded in EcoStruxure™ Machine Expert minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Denial of Service (CVE-2022-47378)/közepes;
- Out-of-bounds Write (CVE-2022-47379)/súlyos;
- Out-of-bounds Write (CVE-2022-47380)/
- Stack Based Out-of-bounds Write (CVE-2022-47381)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47382)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47383)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47384)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47385)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47386)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47387)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47388)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47389)/súlyos;
- Stack Based Out-of-bounds Write (CVE-2022-47390)/súlyos;
- Improper Input Validation (CVE-2022-47391)/súlyos;
- Improper Input Validation (CVE-2022-47392)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-47393)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CN 4100 V2.5-nél korábbi összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-29130)/kritikus;
- Incorrect Default Permissions (CVE-2023-29131)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated minden, V2.90.3.8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-31810)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC MV540 H (6GF3540-0GE10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV540 S (6GF3540-0CD10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV550 H (6GF3550-0GE10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV550 S (6GF3550-0CD10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV560 U (6GF3560-0LE10) minden, v3.3.4-nél korábbi verziója;
- SIMATIC MV560 X (6GF3560-0HE10) minden, v3.3.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-0812)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-1012)/súlyos;
- Injection (CVE-2022-3643)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Incomplete Cleanup (CVE-2022-21123)/közepes;
- Incomplete Cleanup (CVE-2022-21125)/közepes;
- Incomplete Cleanup (CVE-2022-21166)/közepes;
- Observable Discrepancy (CVE-2022-32296)/alacsony;
- Improper Locking (CVE-2022-42328)/közepes;
- Improper Locking (CVE-2022-42329)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2201 minden, V2201.0008-nál korábbi verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0002-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-37246)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-37247)/súlyos;
- Out-of-bounds Write (CVE-2023-37248)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-37374)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-37375)/súlyos;
- Type Confusion (CVE-2023-37376)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.07.11.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX MX5000 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX MX5000RE minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1400 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1500 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1501 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1510 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1511 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1512 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1524 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX1536 minden, V2.16.0-nál korábbi verziója;
- RUGGEDCOM ROX RX5000 minden, V2.16.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2021-22946)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.07.12.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1756-EN2T A, B és C sorozatainak 5.008-as és 5.028 és korábbi verziói;
- 1756-EN2T D sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TK A, B és C sorozatainak 5.008-as és 5.028 és korábbi verziói;
- 1756-EN2TK D sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TXT A, B és C sorozatainak 5.008-as és 5.028 és korábbi verziói;
- 1756-EN2TXT D sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TP A sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TPK A sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TPXT A sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TR A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2TR C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TRK A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2TRK C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2TRXT A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2TRXT C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2F A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2F C sorozatának 11.003-as és korábbi verziói;
- 1756-EN2FK A és B sorozatainak 11.003-as és korábbi verziói;
- 1756-EN2FK C sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TR A sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TR B sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TRK A sorozatának 11.003-as és korábbi verziói;
- 1756-EN3TRK B sorozatának 11.003-as és korábbi verziói;
- 1756-EN4TR A sorozatának 5.001-es és korábbi verziói;
- 1756-EN4TRK A sorozatának 5.001-es és korábbi verziói;
- 1756-EN4TRXT A sorozatának 5.001-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-3595)/kritikus;
- Out-of-bounds Write (CVE-2023-3596)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-193-01

Bejelentés dátuma: 2023.07.13.
Gyártó: Honeywell
Érintett rendszer(ek):
- Experion PKS R520.2-esnél korábbi verziói;
- Experion LX R520.2-esnél korábbi verziói;
- Experion PlantCruise R520.2-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-23585)/kritikus;
- Stack-based Buffer Overflow (CVE-2023-25078)/kritikus;
- Out-of-bounds Write (CVE-2023-25948)/kritikus;
- Uncontrolled Resource Consumption (CVE-2023-26597)/súlyos;
- Improper Encoding or Escaping of Output (CVE-2023-24480)/kritikus;
- Deserialization of Untrusted Data (CVE-2023-25770)/kritikus;
- Insufficient Verification of Data Authenticity (CVE-2023-25178)/súlyos;
- Incorrect Comparison (CVE-2023-22435)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-24474)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-194-06

Bejelentés dátuma: 2023.07.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PowerMonitor 1000 V4.011-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-2072)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-194-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.