Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXCIII

Sérülékenységek AVEVA, Rockwell Automation, Siemens, Schneider Electric, Hitachi Energy és Red Lion rendszerekben

2023. november 21. - icscybersec

Bejelentés dátuma: 2023.11.14.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA SystemPlatform 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Historian 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Application Server 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA InTouch 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Enterprise Licensing (korábbi nevén License Manager) version 3.7.002 and prior
- AVEVA Manufacturing Execution System (korábbi nevén Wonderware MES) 2020 P01-es és korábbi verziói;
- AVEVA Recipe Management 2020 R2 Update 1 Patch 2-es és korábbi verziói;
- AVEVA Batch Management 2020 SP1-es és korábbi verziói;
- AVEVA Edge (korábbi nevén Indusoft Web Studio) 2020 R2 SP1 P01-es és korábbi verziói;
- AVEVA Worktasks (korábbi nevén Workflow Management) 2020 U2-es és korábbi verziói;
- AVEVA Plant SCADA (korábbi nevén Citect) 2020 R2 Update 15-ös és korábbi verziói;
- AVEVA Mobile Operator (korábbi nevén IntelaTrac Mobile Operator Rounds) 2020 R1-es és korábbi verziói;
- AVEVA Communication Drivers Pack 2020 R2 SP1-es és korábbi verziói;
- AVEVA Telemetry Server 2020 R2 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2023-33873)/súlyos;
- External Control of File Name or Path (CVE-2023-34982)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-318-01

Bejelentés dátuma: 2023.11.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Safety Instrumented System Workstation v1.2-től v2.00-ig terjedő verziói (a v2.00 már nem érintett);
- ISaGRAF Workbench v6.6.9-től v6.06.10-ig terjedő verziói (a v6.06.10 már nem érintett);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2015-9268)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-318-02

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC PNI V2.0;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-30184)/közepes;
- Out-of-bounds Write (CVE-2022-37434)/kritikus;
- Improper Input Validation (CVE-2022-41032)/súlyos;
- Improper Input Validation (CVE-2023-21808)/súlyos;
- Improper Input Validation (CVE-2023-24895)/súlyos;
- Improper Input Validation (CVE-2023-24897)/súlyos;
- Improper Input Validation (CVE-2023-24936)/súlyos;
- Improper Input Validation (CVE-2023-28260)/súlyos;
- Improper Input Validation (CVE-2023-29331)/súlyos;
- Improper Input Validation (CVE-2023-32032)/közepes;
- Improper Input Validation (CVE-2023-33126)/súlyos;
- Improper Input Validation (CVE-2023-33128)/súlyos;
- Improper Input Validation (CVE-2023-33135)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, V7.23.37-nél korábbi verziója;
- Mendix 8-at használó Mendix alkalmazások minden, V8.18.27-nél korábbi verziója;
- Mendix 9-et használó Mendix alkalmazások minden, V9.24.10-nél korábbi verziója;
- Mendix 10-et használó Mendix alkalmazások minden, V10.4.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass by Capture-Replay (CVE-2023-45794)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- OPC UA Modelling Editor (SiOME) V2.8-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2023-46590)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2020-25020)/kritikus;
- Path Traversal (CVE-2020-35460)/közepes;
- Out-of-bounds Write (CVE-2022-23095)/súlyos;
- Out-of-bounds Read (CVE-2022-28807)/súlyos;
- Out-of-bounds Read (CVE-2022-28808)/súlyos;
- Out-of-bounds Read (CVE-2022-28809)/súlyos;
- Integer Overflow or Wraparound (CVE-2023-0933)/súlyos;
- Use After Free (CVE-2023-1530)/súlyos;
- Use After Free (CVE-2023-2931)/súlyos;
- Use After Free (CVE-2023-2932)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22669)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22670)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2023-43503)/alacsony;
- Classic Buffer Overflow (CVE-2023-43504)/kritikus;
- Improper Access Control (CVE-2023-43505)/kritikus;
- Improper Access Control (CVE-2023-46601)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo V4.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2023-46096)/közepes;
- SQL Injection (CVE-2023-46097)/közepes;
- Permissive Cross-domain Policy with Untrusted Domains (CVE-2023-46098)/súlyos;
- Cross-site Scripting (CVE-2023-46099)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo CC product family V5.0 minden verziója;
- Desigo CC product family V5.1 minden verziója;
- Desigo CC product family V6 minden verziója;
- Desigo CC product family V7 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Over-Read (CVE-2021-20093)/kritikus;
- Buffer Over-Read (CVE-2021-20094)/súlyos;
- Heap-Based Buffer Overflow (CVE-2023-3935)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Nozomi Guardian-nal/CMC-vel használt RUGGEDCOM APE1808 minden, V22.6.3-nál korábbi illetve 23.1.0 verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2023-2567)/súlyos;
- SQL Injection (CVE-2023-29245)/súlyos;
- Improper Input Validation (CVE-2023-32649)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a sérülékenységek javításán.
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Studio Pro 7 V7.23.37-nél korábbi verziói;
- Mendix Studio Pro 8 V8.18.27-nél korábbi verziói;
- Mendix Studio Pro 9 V9.24.0-nál korábbi verziói;
- Mendix Studio Pro 10 V10.3.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-4863)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XB205-3 (SC, PN) (6GK5205-3BB00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BB00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BD00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3 (ST, PN) (6GK5205-3BD00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3LD (SC, E/IP) (6GK5205-3BF00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB205-3LD (SC, PN) (6GK5205-3BF00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB208 (E/IP) (6GK5208-0BA00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB208 (PN) (6GK5208-0BA00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (SC, E/IP) (6GK5213-3BD00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (SC, PN) (6GK5213-3BD00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (ST, E/IP) (6GK5213-3BB00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3 (ST, PN) (6GK5213-3BB00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3LD (SC, E/IP) (6GK5213-3BF00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB213-3LD (SC, PN) (6GK5213-3BF00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XB216 (E/IP) (6GK5216-0BA00-2TB2) V4.5-nél korábbi verziói;
- SCALANCE XB216 (PN) (6GK5216-0BA00-2AB2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2 (SC) (6GK5206-2BD00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2 (ST/BFOC) (6GK5206-2BB00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE (6GK5206-2RS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE (54 V DC) (6GK5206-2RS00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2G PoE EEC (54 V DC) (6GK5206-2RS00-5FC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP (6GK5206-2BS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP EEC (6GK5206-2BS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G (6GK5206-2GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G (EIP DEF.) (6GK5206-2GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC206-2SFP G EEC (6GK5206-2GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208 (6GK5208-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208EEC (6GK5208-0BA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G (6GK5208-0GA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G (EIP def.) (6GK5208-0GA00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G EEC (6GK5208-0GA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G PoE (6GK5208-0RA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC208G PoE (54 V DC) (6GK5208-0RA00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216 (6GK5216-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-3G PoE (6GK5216-3RS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-3G PoE (54 V DC) (6GK5216-3RS00-5AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C (6GK5216-4BS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G (6GK5216-4GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G (EIP Def.) (6GK5216-4GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC216-4C G EEC (6GK5216-4GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC216EEC (6GK5216-0BA00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XC224 (6GK5224-0BA00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G (6GK5224-4GS00-2AC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G (EIP Def.) (6GK5224-4GS00-2TC2) V4.5-nél korábbi verziói;
- SCALANCE XC224-4C G EEC (6GK5224-4GS00-2FC2) V4.5-nél korábbi verziói;
- SCALANCE XF204 (6GK5204-0BA00-2GF2) V4.5-nél korábbi verziói;
- SCALANCE XF204 DNA (6GK5204-0BA00-2YF2) V4.5-nél korábbi verziói;
- SCALANCE XF204-2BA (6GK5204-2AA00-2GF2) V4.5-nél korábbi verziói;
- SCALANCE XF204-2BA DNA (6GK5204-2AA00-2YF2) V4.5-nél korábbi verziói;
- SCALANCE XP208 (6GK5208-0HA00-2AS6) V4.5-nél korábbi verziói;
- SCALANCE XP208 (Ethernet/IP) (6GK5208-0HA00-2TS6) V4.5-nél korábbi verziói;
- SCALANCE XP208EEC (6GK5208-0HA00-2ES6) V4.5-nél korábbi verziói;
- SCALANCE XP208PoE EEC (6GK5208-0UA00-5ES6) V4.5-nél korábbi verziói;
- SCALANCE XP216 (6GK5216-0HA00-2AS6) V4.5-nél korábbi verziói;
- SCALANCE XP216 (Ethernet/IP) (6GK5216-0HA00-2TS6) V4.5-nél korábbi verziói;
- SCALANCE XP216EEC (6GK5216-0HA00-2ES6) V4.5-nél korábbi verziói;
- SCALANCE XP216POE EEC (6GK5216-0UA00-5ES6) V4.5-nél korábbi verziói;
- SCALANCE XR324WG (24 x FE, AC 230V) (6GK5324-0BA00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR324WG (24 X FE, DC 24V) (6GK5324-0BA00-2AR3) V4.5-nél korábbi verziói;
- SCALANCE XR326-2C PoE WG (6GK5326-2QS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR326-2C PoE WG (without UL) (6GK5326-2QS00-3RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE, AC230V) (6GK5328-4FS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE, AC230V) (6GK5328-4FS00-3RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24XFE, 4XGE, 24V) (6GK5328-4FS00-2AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (6GK5328-4FS00-2RR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (28xGE, AC 230V) (6GK5328-4SS00-3AR3) V4.5-nél korábbi verziói;
- SCALANCE XR328-4C WG (28xGE, DC 24V) (6GK5328-4SS00-2AR3) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC206-2 (6AG1206-2BB00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC206-2SFP (6AG1206-2BS00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC208 (6AG1208-0BA00-7AC2) V4.5-nél korábbi verziói;
- SIPLUS NET SCALANCE XC216-4C (6AG1216-4BS00-7AC2) V4.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-4203)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- NULL Pointer Dereference (CVE-2023-0216)/súlyos;
- NULL Pointer Dereference (CVE-2023-0217)/súlyos;
- NULL Pointer Dereference (CVE-2023-0401)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/közepes;
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2023-44318)/közepes;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Forced Browsing (CVE-2023-44320)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
- Unchecked Return Value (CVE-2023-44322)/alacsony;
- Injection (CVE-2023-44373)/kritikus;
- Unsynchronized Access to Shared Data in a Multithreaded Context (CVE-2023-44374)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AA0) minden verziója;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AA0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AC0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA6) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AB0) minden verziója;
- SCALANCE W734-1 RJ45 (USA) (6GK5734-1FX00-0AB6) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AA0) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AB0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AA0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AB0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AA0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AB0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AA0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AB0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TA0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA6) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AC0) minden verziója;
- SCALANCE W774-1 RJ45 (USA) (6GK5774-1FX00-0AB6) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AA0) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AB0) minden verziója;
- SCALANCE W778-1 M12 EEC (6GK5778-1GY00-0TA0) minden verziója;
- SCALANCE W778-1 M12 EEC (USA) (6GK5778-1GY00-0TB0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AA0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AA0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AC0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AA0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AB0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AA0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AB0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AA0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AB0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AA0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AB0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AA0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TA0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TC0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AA0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AB0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AC0) minden verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0AA0) minden verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0TA0) minden verziója;
- SCALANCE W1788-1 M12 (6GK5788-1GY01-0AA0) minden verziója;
- SCALANCE W1788-2 EEC M12 (6GK5788-2GY01-0TA0) minden verziója;
- SCALANCE W1788-2 M12 (6GK5788-2GY01-0AA0) minden verziója;
- SCALANCE W1788-2IA M12 (6GK5788-2HY01-0AA0) minden verziója;
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden verziója;
- SCALANCE WAM766-1 (EU) (6GK5766-1GE00-7DA0) minden verziója;
- SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) minden verziója;
- SCALANCE WAM766-1 EEC (EU) (6GK5766-1GE00-7TA0) minden verziója;
- SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden verziója;
- SCALANCE WUM766-1 (EU) (6GK5766-1GE00-3DA0) minden verziója;
- SCALANCE WUM766-1 (US) (6GK5766-1GE00-3DB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-47522)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC MV500-család minden, V3.3.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-23218)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2201 minden, V2201.0010-nél korábbi verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0004-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-38070)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38071)/súlyos;
- Out-of-bounds Write (CVE-2023-38072)/súlyos;
- Type Confusion (CVE-2023-38073)/súlyos;
- Type Confusion (CVE-2023-38074)/súlyos;
- Use After Free (CVE-2023-38075)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38076)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 4 7SJ66 minden, V4.41-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2019-12255)/kritikus;
- Classic Buffer Overflow (CVE-2019-12256)/kritikus;
- Session Fixation (CVE-2019-12258)/súlyos;
- NULL Pointer Dereference (CVE-2019-12259)/súlyos;
- Classic Buffer Overflow (CVE-2019-12260)/kritikus;
- Classic Buffer Overflow (CVE-2019-12261)/kritikus;
- Origin Validation Error (CVE-2019-12262)/kritikus;
- Race Condition (CVE-2019-12263)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2019-12265)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap V2301 minden, V2301.0003-nál korábbi verziója;
- Simcenter Femap V2306 minden, V2306.0001-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-41032)/súlyos;
- Out-of-bounds Write (CVE-2023-41033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- ION8650 minden verziója;
- ION8800 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Download of Code Without Integrity Check (CVE-2023-5984)/súlyos;
- Improper Neutralization of Input During Web Page Generation (CVE-2023-5985)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert (PME) 2021-es kiadásának CU2-t megelőző verziói;
- EcoStruxure™ Power Monitoring Expert (PME) 2020-as kiadásának CU3-t megelőző verziói;
- EcoStruxure™ Power Operation 2021-hez használható Advanced Reporting and Dashboards Module 2021-es kiadásának CU2-esnél korábbi verziói;
- EcoStruxure™ Power SCADA Operation (PSO) 2020-hoz vagy 2020 R2-höz használható Advanced Reporting and Dashboards Module 2020-as kiadásának CU3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- URL Redirection to Untrusted Site (CVE-2023-5986)/súlyos;
- Cross-site Scripting (CVE-2023-5987)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.11.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Galaxy VS v6.82-es verziója;
- Galaxy VL v12.21-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-6032)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.11.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MACH SSW 5.0-tól 7.17.0.0-ig terjedő verziói;
- MACH SSW 7.10.0.0-tól 7.18.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-2621)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2023-2622)/alacsony;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-02

Bejelentés dátuma: 2023.11.16.
Gyártó: Red Lion
Érintett rendszer(ek):
- ST-IPm-8460 6.0.202-es és későbbi firmware-verziói;
- ST-IPm-6350 4.9.114-es és későbbi firmware-verziói;
- VT-mIPm-135-D 4.9.114-es és későbbi firmware-verziói;
- VT-mIPm-245-D 4.9.114-es és későbbi firmware-verziói;
- VT-IPm2m-213-D 4.9.114-es és későbbi firmware-verziói;
- VT-IPm2m-113-D 4.9.114-es és későbbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass using an Alternative Path or Channel (CVE-2023-42770)/kritikus;
- Exposed Dangerous Method or Function (CVE-2023-40151)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr1618264041

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása