Bejelentés dátuma: 2023.11.14.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA SystemPlatform 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Historian 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Application Server 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA InTouch 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Enterprise Licensing (korábbi nevén License Manager) version 3.7.002 and prior
- AVEVA Manufacturing Execution System (korábbi nevén Wonderware MES) 2020 P01-es és korábbi verziói;
- AVEVA Recipe Management 2020 R2 Update 1 Patch 2-es és korábbi verziói;
- AVEVA Batch Management 2020 SP1-es és korábbi verziói;
- AVEVA Edge (korábbi nevén Indusoft Web Studio) 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Worktasks (korábbi nevén Workflow Management) 2020 U2-es és korábbi verziói;
- AVEVA Plant SCADA (korábbi nevén Citect) 2020 R2 Update 15-ös és korábbi verziói;
- AVEVA Mobile Operator (korábbi nevén IntelaTrac Mobile Operator Rounds) 2020 R1-es és korábbi verziói;
- AVEVA Communication Drivers Pack 2020 R2 SP1-es és korábbi verziói;
- AVEVA Telemetry Server 2020 R2 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2023-33873)/súlyos;
- External Control of File Name or Path (CVE-2023-34982)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-318-01
Bejelentés dátuma: 2023.11.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Safety Instrumented System Workstation v1.2-től v2.00-ig terjedő verziói (a v2.00 már nem érintett);
- ISaGRAF Workbench v6.6.9-től v6.06.10-ig terjedő verziói (a v6.06.10 már nem érintett);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2015-9268)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-318-02
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC PNI V2.0;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-30184)/közepes;
- Out-of-bounds Write (CVE-2022-37434)/kritikus;
- Improper Input Validation (CVE-2022-41032)/súlyos;
- Improper Input Validation (CVE-2023-21808)/súlyos;
- Improper Input Validation (CVE-2023-24895)/súlyos;
- Improper Input Validation (CVE-2023-24897)/súlyos;
- Improper Input Validation (CVE-2023-24936)/súlyos;
- Improper Input Validation (CVE-2023-28260)/súlyos;
- Improper Input Validation (CVE-2023-29331)/súlyos;
- Improper Input Validation (CVE-2023-32032)/közepes;
- Improper Input Validation (CVE-2023-33126)/súlyos;
- Improper Input Validation (CVE-2023-33128)/súlyos;
- Improper Input Validation (CVE-2023-33135)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, V7.23.37-nél korábbi verziója;
- Mendix 8-at használó Mendix alkalmazások minden, V8.18.27-nél korábbi verziója;
- Mendix 9-et használó Mendix alkalmazások minden, V9.24.10-nél korábbi verziója;
- Mendix 10-et használó Mendix alkalmazások minden, V10.4.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-Replay (CVE-2023-45794)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- OPC UA Modelling Editor (SiOME) V2.8-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2023-46590)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2020-25020)/kritikus;
- Path Traversal (CVE-2020-35460)/közepes;
- Out-of-bounds Write (CVE-2022-23095)/súlyos;
- Out-of-bounds Read (CVE-2022-28807)/súlyos;
- Out-of-bounds Read (CVE-2022-28808)/súlyos;
- Out-of-bounds Read (CVE-2022-28809)/súlyos;
- Integer Overflow or Wraparound (CVE-2023-0933)/súlyos;
- Use After Free (CVE-2023-1530)/súlyos;
- Use After Free (CVE-2023-2931)/súlyos;
- Use After Free (CVE-2023-2932)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22669)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22670)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-43503)/alacsony;
- Classic Buffer Overflow (CVE-2023-43504)/kritikus;
- Improper Access Control (CVE-2023-43505)/kritikus;
- Improper Access Control (CVE-2023-46601)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo V4.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-46096)/közepes;
- SQL Injection (CVE-2023-46097)/közepes;
- Permissive Cross-domain Policy with Untrusted Domains (CVE-2023-46098)/súlyos;
- Cross-site Scripting (CVE-2023-46099)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo CC product family V5.0 minden verziója;
- Desigo CC product family V5.1 minden verziója;
- Desigo CC product family V6 minden verziója;
- Desigo CC product family V7 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Over-Read (CVE-2021-20093)/kritikus;
- Buffer Over-Read (CVE-2021-20094)/súlyos;
- Heap-Based Buffer Overflow (CVE-2023-3935)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Nozomi Guardian-nal/CMC-vel használt RUGGEDCOM APE1808 minden, V22.6.3-nál korábbi illetve 23.1.0 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-2567)/súlyos;
- SQL Injection (CVE-2023-29245)/súlyos;
- Improper Input Validation (CVE-2023-32649)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a sérülékenységek javításán.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Studio Pro 7 V7.23.37-nél korábbi verziói;
- Mendix Studio Pro 8 V8.18.27-nél korábbi verziói;
- Mendix Studio Pro 9 V9.24.0-nál korábbi verziói;
- Mendix Studio Pro 10 V10.3.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-4863)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XB205-3 (SC, PN) (6GK5205-3BB00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BB00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BD00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, PN) (6GK5205-3BD00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3LD (SC, E/IP) (6GK5205-3BF00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3LD (SC, PN) (6GK5205-3BF00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB208 (E/IP) (6GK5208-0BA00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB208 (PN) (6GK5208-0BA00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (SC, E/IP) (6GK5213-3BD00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (SC, PN) (6GK5213-3BD00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (ST, E/IP) (6GK5213-3BB00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (ST, PN) (6GK5213-3BB00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3LD (SC, E/IP) (6GK5213-3BF00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3LD (SC, PN) (6GK5213-3BF00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB216 (E/IP) (6GK5216-0BA00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB216 (PN) (6GK5216-0BA00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2 (SC) (6GK5206-2BD00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2 (ST/BFOC) (6GK5206-2BB00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE (6GK5206-2RS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE (54 V DC) (6GK5206-2RS00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE EEC (54 V DC) (6GK5206-2RS00-5FC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP (6GK5206-2BS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP EEC (6GK5206-2BS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G (6GK5206-2GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G (EIP DEF.) (6GK5206-2GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G EEC (6GK5206-2GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208 (6GK5208-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208EEC (6GK5208-0BA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G (6GK5208-0GA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G (EIP def.) (6GK5208-0GA00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G EEC (6GK5208-0GA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G PoE (6GK5208-0RA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G PoE (54 V DC) (6GK5208-0RA00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216 (6GK5216-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-3G PoE (6GK5216-3RS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-3G PoE (54 V DC) (6GK5216-3RS00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C (6GK5216-4BS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G (6GK5216-4GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G (EIP Def.) (6GK5216-4GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G EEC (6GK5216-4GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC216EEC (6GK5216-0BA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC224 (6GK5224-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G (6GK5224-4GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G (EIP Def.) (6GK5224-4GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G EEC (6GK5224-4GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XF204 (6GK5204-0BA00-2GF2) V4.5-nél korábbi verziói;
- SCALANCE XF204 DNA (6GK5204-0BA00-2YF2) V4.5-nél korábbi verziói;
- SCALANCE XF204-2BA (6GK5204-2AA00-2GF2) V4.5-nél korábbi verziói;
- SCALANCE XF204-2BA DNA (6GK5204-2AA00-2YF2) V4.5-nél korábbi verziói;
- SCALANCE XP208 (6GK5208-0HA00-2AS6) V4.5-nél korábbi verziói;
- SCALANCE XP208 (Ethernet/IP) (6GK5208-0HA00-2TS6) V4.5-nél korábbi verziói;
- SCALANCE XP208EEC (6GK5208-0HA00-2ES6) V4.5-nél korábbi verziói;
- SCALANCE XP208PoE EEC (6GK5208-0UA00-5ES6) V4.5-nél korábbi verziói;
- SCALANCE XP216 (6GK5216-0HA00-2AS6) V4.5-nél korábbi verziói;
- SCALANCE XP216 (Ethernet/IP) (6GK5216-0HA00-2TS6) V4.5-nél korábbi verziói;
- SCALANCE XP216EEC (6GK5216-0HA00-2ES6) V4.5-nél korábbi verziói;
- SCALANCE XP216POE EEC (6GK5216-0UA00-5ES6) V4.5-nél korábbi verziói;
- SCALANCE XR324WG (24 x FE, AC 230V) (6GK5324-0BA00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR324WG (24 X FE, DC 24V) (6GK5324-0BA00-2AR3) V4.5-nél korábbi verziói;
- SCALANCE XR326-2C PoE WG (6GK5326-2QS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR326-2C PoE WG (without UL) (6GK5326-2QS00-3RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE, AC230V) (6GK5328-4FS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE, AC230V) (6GK5328-4FS00-3RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24XFE, 4XGE, 24V) (6GK5328-4FS00-2AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (6GK5328-4FS00-2RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (28xGE, AC 230V) (6GK5328-4SS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (28xGE, DC 24V) (6GK5328-4SS00-2AR3) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC206-2 (6AG1206-2BB00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC206-2SFP (6AG1206-2BS00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC208 (6AG1208-0BA00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC216-4C (6AG1216-4BS00-7AC2) V4.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-4203)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- NULL Pointer Dereference (CVE-2023-0216)/súlyos;
- NULL Pointer Dereference (CVE-2023-0217)/súlyos;
- NULL Pointer Dereference (CVE-2023-0401)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/közepes;
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2023-44318)/közepes;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Forced Browsing (CVE-2023-44320)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
- Unchecked Return Value (CVE-2023-44322)/alacsony;
- Injection (CVE-2023-44373)/kritikus;
- Unsynchronized Access to Shared Data in a Multithreaded Context (CVE-2023-44374)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AA0) minden verziója;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AA0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AC0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA6) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AB0) minden verziója;
- SCALANCE W734-1 RJ45 (USA) (6GK5734-1FX00-0AB6) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AA0) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AB0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AA0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AB0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AA0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AB0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AA0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AB0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TA0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA6) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AC0) minden verziója;
- SCALANCE W774-1 RJ45 (USA) (6GK5774-1FX00-0AB6) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AA0) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AB0) minden verziója;
- SCALANCE W778-1 M12 EEC (6GK5778-1GY00-0TA0) minden verziója;
- SCALANCE W778-1 M12 EEC (USA) (6GK5778-1GY00-0TB0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AA0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AA0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AC0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AA0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AB0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AA0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AB0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AA0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AB0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AA0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AB0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AA0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TA0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TC0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AA0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AB0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AC0) minden verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0AA0) minden verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0TA0) minden verziója;
- SCALANCE W1788-1 M12 (6GK5788-1GY01-0AA0) minden verziója;
- SCALANCE W1788-2 EEC M12 (6GK5788-2GY01-0TA0) minden verziója;
- SCALANCE W1788-2 M12 (6GK5788-2GY01-0AA0) minden verziója;
- SCALANCE W1788-2IA M12 (6GK5788-2HY01-0AA0) minden verziója;
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden verziója;
- SCALANCE WAM766-1 (EU) (6GK5766-1GE00-7DA0) minden verziója;
- SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) minden verziója;
- SCALANCE WAM766-1 EEC (EU) (6GK5766-1GE00-7TA0) minden verziója;
- SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden verziója;
- SCALANCE WUM766-1 (EU) (6GK5766-1GE00-3DA0) minden verziója;
- SCALANCE WUM766-1 (US) (6GK5766-1GE00-3DB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-47522)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC MV500-család minden, V3.3.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-23218)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2201 minden, V2201.0010-nél korábbi verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0004-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-38070)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38071)/súlyos;
- Out-of-bounds Write (CVE-2023-38072)/súlyos;
- Type Confusion (CVE-2023-38073)/súlyos;
- Type Confusion (CVE-2023-38074)/súlyos;
- Use After Free (CVE-2023-38075)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38076)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 4 7SJ66 minden, V4.41-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2019-12255)/kritikus;
- Classic Buffer Overflow (CVE-2019-12256)/kritikus;
- Session Fixation (CVE-2019-12258)/súlyos;
- NULL Pointer Dereference (CVE-2019-12259)/súlyos;
- Classic Buffer Overflow (CVE-2019-12260)/kritikus;
- Classic Buffer Overflow (CVE-2019-12261)/kritikus;
- Origin Validation Error (CVE-2019-12262)/kritikus;
- Race Condition (CVE-2019-12263)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2019-12265)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap V2301 minden, V2301.0003-nál korábbi verziója;
- Simcenter Femap V2306 minden, V2306.0001-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-41032)/súlyos;
- Out-of-bounds Write (CVE-2023-41033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- ION8650 minden verziója;
- ION8800 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Download of Code Without Integrity Check (CVE-2023-5984)/súlyos;
- Improper Neutralization of Input During Web Page Generation (CVE-2023-5985)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert (PME) 2021-es kiadásának CU2-t megelőző verziói;
- EcoStruxure™ Power Monitoring Expert (PME) 2020-as kiadásának CU3-t megelőző verziói;
- EcoStruxure™ Power Operation 2021-hez használható Advanced Reporting and Dashboards Module 2021-es kiadásának CU2-esnél korábbi verziói;
- EcoStruxure™ Power SCADA Operation (PSO) 2020-hoz vagy 2020 R2-höz használható Advanced Reporting and Dashboards Module 2020-as kiadásának CU3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- URL Redirection to Untrusted Site (CVE-2023-5986)/súlyos;
- Cross-site Scripting (CVE-2023-5987)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Galaxy VS v6.82-es verziója;
- Galaxy VL v12.21-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-6032)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2023.11.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MACH SSW 5.0-tól 7.17.0.0-ig terjedő verziói;
- MACH SSW 7.10.0.0-tól 7.18.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-2621)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2023-2622)/alacsony;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-02
Bejelentés dátuma: 2023.11.16.
Gyártó: Red Lion
Érintett rendszer(ek):
- ST-IPm-8460 6.0.202-es és későbbi firmware-verziói;
- ST-IPm-6350 4.9.114-es és későbbi firmware-verziói;
- VT-mIPm-135-D 4.9.114-es és későbbi firmware-verziói;
- VT-mIPm-245-D 4.9.114-es és későbbi firmware-verziói;
- VT-IPm2m-213-D 4.9.114-es és későbbi firmware-verziói;
- VT-IPm2m-113-D 4.9.114-es és későbbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass using an Alternative Path or Channel (CVE-2023-42770)/kritikus;
- Exposed Dangerous Method or Function (CVE-2023-40151)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-01
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.