Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXCVII

Sérülékenységek ABB, CODESYS, Schneider Electric és Siemens rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2023. december 20. - icscybersec

Bejelentés dátuma: 2023.11.03.
Gyártó: ABB
Érintett rendszer(ek):
- ABB Ability™ Genix 21.1, 22.2, 23.1-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Remote Code Execution (CVE-2023-46604)/kritikus;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.12.05.
Gyártó: CODESYS
Érintett rendszer(ek):
- BeagleBone SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- emPC-A/iMX6 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- IOT2000 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- Linux ARM SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- Linux SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- PFC100 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- PFC200 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- PLCnext SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- Raspberry Pi SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- WAGO Touch Panels 600 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Neutralization of Special Elements used in an OS Command (CVE-2023-6357)/súlyos;
Javítás: Részben elérhető, a végleges javítás 2024. januárra várható.
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2023.12.05.
Gyártó: CODESYS
Érintett rendszer(ek):
- WIBU Codemeter-t használó Linux ARM SL CODESYS vezérlőinek 4.10.0.0-nál korábbi verziói;
- WIBU Codemeter-t használó Linux SL CODESYS vezérlőinek 4.10.0.0-nál korábbi verziói;
- WIBU Codemeter-t használó RTE SL for Beckhoff CX CODESYS vezérlőinek 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó RTE (SL) CODESYS vezérlőinek 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó Win (SL) CODESYS vezérlőinek 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS Development System 2.3.9.45-ös és újabb verziói;
- WIBU Codemeter-t használó CODESYS Development System 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS HMI (SL) 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS OPC OA Server SL 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS SP Realtime NT 2.3.7.25-ös és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based buffer overflow (CVE-2023-3935)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-035/

Bejelentés dátuma: 2023.12.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easy UPS Online Monitoring szoftver 2.6-GA-01-23116 és korábbi, Windows 10, 11, Windows
Server 2016, 2019 és 2022 verziókra telepített verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-6407)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2023.12.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Trio Q-sorozatú Ethernet Data Radio minden verziója;
- Trio E-sorozatú Ethernet Data Radio minden verziója;
- Trio J-sorozatú Ethernet Data Radio minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Open Redirect (CVE-2023-5629)/súlyos;
- Download of Code Without Integrity Check (CVE-2023-5630)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.12.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Plant iT/Brewmaxx v9.60-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Remote Code Execution (CVE-2022-0543)/kritikus;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK MC minden, V1.22-nél korábbi verziója;
- SINUMERIK ONE minden, V6.22-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2023-28831)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AC0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AC0) minden, V3.1.0-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0) minden, V3.1.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2013-0340)/kritikus;
- Race Condition (CVE-2013-4235)/közepes;
- Command Injection (CVE-2014-7209)/kritikus;
- Command Injection (CVE-2015-20107)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2016-3189)/közepes;
- Cross-site Scripting (CVE-2016-3709)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2016-4658)/kritikus;
- Use After Free (CVE-2016-5131)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2016-9318)/közepes;
- Improper Input Validation (CVE-2016-10228)/közepes;
- Improper Input Validation (CVE-2016-10739)/közepes;
- Out-of-bounds Write (CVE-2017-0663)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2017-7375)/kritikus;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-7376)/kritikus;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-9047)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-9048)/súlyos;
- Out-of-bounds Read (CVE-2017-9049)/súlyos;
- Out-of-bounds Read (CVE-2017-9050)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-16931)/kritikus;
- Infinite Loop (CVE-2017-16932)/súlyos;
- Injection (CVE-2017-17512)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2017-18258)/közepes;
- Observable Discrepancy (CVE-2018-0495)/közepes;
- Generation of Error Message Containing Sensitive Information (CVE-2018-12886)/súlyos;
- NULL Pointer Dereference (CVE-2018-14404)/súlyos;
- Infinite Loop (CVE-2018-14567)/közepes;
- Integer Overflow or Wraparound (CVE-2018-18928)/kritikus;
- Improper Input Validation (CVE-2018-19591)/súlyos;
- Infinite Loop (CVE-2018-20482)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2018-20843)/súlyos;
- Out-of-bounds Write (CVE-2018-25032)/közepes;
- Out-of-bounds Write (CVE-2019-3855)/súlyos;
- Out-of-bounds Write (CVE-2019-3856)/súlyos;
- Out-of-bounds Write (CVE-2019-3857)/súlyos;
- Out-of-bounds Read (CVE-2019-3858)/kritikus;
- Out-of-bounds Read (CVE-2019-3859)/kritikus;
- Out-of-bounds Read (CVE-2019-3860)/kritikus;
- Out-of-bounds Read (CVE-2019-3861)/kritikus
- Out-of-bounds Read (CVE-2019-3862)/kritikus;
- Out-of-bounds Write (CVE-2019-3863)/súlyos;
- Use After Free (CVE-2019-5018)/súlyos;
- Out-of-bounds Write (CVE-2019-5094)/súlyos;
- Out-of-bounds Write (CVE-2019-5188)/súlyos;
- Integer Overflow or Wraparound (CVE-2019-5435)/alacsony;
- Out-of-bounds Write (CVE-2019-5436)/súlyos;
- Uncontrolled Search Path Element (CVE-2019-5443)/súlyos;
- Double Free (CVE-2019-5481)/kritikus;
- Out-of-bounds Write (CVE-2019-5482)/kritikus;
- Improper Encoding or Escaping of Output (CVE-2019-6109)/közepes;
- Inappropriate Encoding for Output Context (CVE-2019-6110)/közepes;
- Path Traversal (CVE-2019-6111)/közepes;
- Improper Resource Shutdown or Release (CVE-2019-6488)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2019-7309)/közepes;
- Out-of-bounds Read (CVE-2019-8457)/kritikus;
- Out-of-bounds Read (CVE-2019-9169)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2019-9636)/kritikus;
- Uncontrolled Resource Consumption (CVE-2019-9674)/súlyos;
- CRLF Injection (CVE-2019-9740)/közepes;
- NULL Pointer Dereference (CVE-2019-9923)/súlyos;
- Out-of-bounds Read (CVE-2019-9936)/súlyos;
- NULL Pointer Dereference (CVE-2019-9937)/súlyos;
- CRLF Injection (CVE-2019-9947)/közepes;
- Path Traversal (CVE-2019-9948)/kritikus;
- Encoding Error (CVE-2019-10160)/kritikus;
- Out-of-bounds Write (CVE-2019-11360)/közepes;
- Improper Input Validation (CVE-2019-12290)/súlyos;
- Out-of-bounds Write (CVE-2019-12900)/kritikus;
- Exposure of Resource to Wrong Sphere (CVE-2019-12904)/közepes;
- Missing Encryption of Sensitive Data (CVE-2019-13057)/közepes;
- Missing Encryption of Sensitive Data (CVE-2019-13565)/súlyos;
- Observable Discrepancy (CVE-2019-13627)/közepes;
- Insufficient Entropy (CVE-2019-15847)/súlyos;
- Out-of-bounds Read (CVE-2019-15903)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2019-16056)/súlyos;
- Divide By Zero (CVE-2019-16168)/közepes;
- Integer Overflow or Wraparound (CVE-2019-16905)/súlyos;
- Integer Overflow or Wraparound (CVE-2019-17498)/súlyos;
- Out-of-bounds Write (CVE-2019-17543)/súlyos;
- Out-of-bounds Read (CVE-2019-17594)/közepes;
- Out-of-bounds Read (CVE-2019-17595)/közepes;
- Out-of-bounds Write (CVE-2019-18224)/kritikus;
- Improper Check for Dropped Privileges (CVE-2019-18276)/súlyos;
- Injection (CVE-2019-18348)/közepes;
- Improper Initialization (CVE-2019-19126)/alacsony;
- NULL Pointer Dereference (CVE-2019-19242)/közepes;
- Improper Input Validation (CVE-2019-19244)/súlyos;
- Incorrect Conversion between Numeric Types (CVE-2019-19317)/kritikus;
- Improper Input Validation (CVE-2019-19603)/súlyos;
- Uncontrolled Recursion (CVE-2019-19645)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2019-19646)/kritikus;
- NULL Pointer Dereference (CVE-2019-19880)/súlyos;
- Out-of-bounds Write (CVE-2019-19906)/súlyos;
- NULL Pointer Dereference (CVE-2019-19923)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2019-19924)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2019-19925)/súlyos;
- NULL Pointer Dereference (CVE-2019-19926)/súlyos;
- Missing Release of Resource after Effective Lifetime (CVE-2019-19956)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2019-19959)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2019-20218)/súlyos;
- Out-of-bounds Read (CVE-2019-20367)/kritikus;
- Missing Release of Memory after Effective Lifetime (CVE-2019-20388)/súlyos;
- Use After Free (CVE-2019-20795)/közepes;
- Infinite Loop (CVE-2019-20907)/súlyos;
- Out-of-bounds Read (CVE-2019-25013)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2019-1010022)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2019-1010023)
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2019-1010024)/közepes;
- Use of Insufficiently Random Values (CVE-2019-1010025)/közepes;
- Out-of-bounds Read (CVE-2019-1010180)/súlyos;
- Use After Free (CVE-2020-1712)/súlyos;
- Out-of-bounds Write (CVE-2020-1751)/közepes;
- Use After Free (CVE-2020-1752)/súlyos;
- Signed to Unsigned Conversion Error (CVE-2020-6096)/súlyos;
- Infinite Loop (CVE-2020-7595)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2020-8169)/súlyos;
- Injection (CVE-2020-8177)/súlyos;
- Use After Free (CVE-2020-8231)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2020-8284)/alacsony;
- Uncontrolloed Recursion (CVE-2020-8285)/súlyos;
- Improper Certificate Validation (CVE-2020-8286)/súlyos;
- Uncontrolloed Search Path Element (CVE-2020-8315)/közepes;
- Uncontrolloed Resource Consumption (CVE-2020-8492)/közepes;
- NULL Pointer Dereference (CVE-2020-9327)/súlyos;
- Out-of-bounds Write (CVE-2020-10029)/közepes;
- Out-of-bounds Write (CVE-2020-10531)/súlyos;
- Out-of-bounds Write (CVE-2020-10543)/súlyos;
- Incorrect Type Conversion or Cast (CVE-2020-10735)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-10878)/súlyos;
- Use of Insufficiently Random Values (CVE-2020-11501)/súlyos;
- Improper Initialization (CVE-2020-11655)/súlyos;
- Use After Free (CVE-2020-11656)/kritikus;
- Improper Input Validation (CVE-2020-12062)/súlyos;
- Uncontrolloed Recursion (CVE-2020-12243)/súlyos;
- Classic Buffer Overflow (CVE-2020-12723)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-12762)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-13434)/közepes;
- NULL Pointer Dereference (CVE-2020-13435)/közepes;
- Authentication Bypass by Spoofing (CVE-2020-13529)/közepes;
- Use After Free (CVE-2020-13630)/súlyos;
- Improper Input Validation (CVE-2020-13631)/közepes;
- NULL Pointer Dereference (CVE-2020-13632)/közepes;
- Improper Privilege Management (CVE-2020-13776)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2020-13777)/súlyos;
- Use After Free (CVE-2020-13871)/súlyos;
- Observable Discrepancy (CVE-2020-14145)/közepes;
- Incorrect Calculation (CVE-2020-14422)/közepes;
- Out-of-bounds Write (CVE-2020-15358)/közepes;
- Uncontrolled Search Path Element (CVE-2020-15523)/súlyos;
- OS Command Injection (CVE-2020-15778)/súlyos;
- Untrusted Search Path (CVE-2020-15801)/kritikus;
- Out-of-bounds Write (CVE-2020-19185)/közepes;
- Out-of-bounds Write (CVE-2020-19186)/közepes;
- Out-of-bounds Write (CVE-2020-19187)/közepes;
- Out-of-bounds Write (CVE-2020-19188)/közepes;
- Out-of-bounds Write (CVE-2020-19189)/közepes;
- Out-of-bounds Write (CVE-2020-19190)/közepes;
- Integer Overflow or Wraparound (CVE-2020-19909)/alacsony;
- Out-of-bounds Write (CVE-2020-21047)/közepes;
- Use After Free (CVE-2020-21913)/közepes;
- Out-of-bounds Write (CVE-2020-22218)/súlyos;
- Out-of-bounds Write (CVE-2020-24659)/súlyos;
- Out-of-bounds Read (CVE-2020-24977)/közepes;
- NULL Pointer Dereference (CVE-2020-25692)/súlyos;
- Reachable Assertion (CVE-2020-25709)/súlyos;
- Reachable Assertion (CVE-2020-25710)/súlyos;
- Injection (CVE-2020-26116)/súlyos;
- Infinite Loop (CVE-2020-27618)/közepes;
- Uncontrolloed Recursion (CVE-2020-28196)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-29361)/súlyos;
- Out-of-bounds Read (CVE-2020-29362)/közepes;
- Out-of-bounds Write (CVE-2020-29363)/súlyos;
- Reachable Assertion (CVE-2020-29562)/közepes;
- Out-of-bounds Write (CVE-2020-29573)/súlyos;
- NULL Pointer Dereference (CVE-2020-35525)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-35527)/kritikus;
- Integer Overflow or Wraparound (CVE-2020-36221)/súlyos;
- Reachable Assertion (CVE-2020-36222)/súlyos;
- Out-of-bounds Read (CVE-2020-36223)/súlyos;
- Release of Invalid Pointer or Reference (CVE-2020-36224)/súlyos;
- Double Free (CVE-2020-36225)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2020-36226)/súlyos;
- Infinite Loop (CVE-2020-36227)/súlyos;
- Wrap or Wraparound (CVE-2020-36228)/súlyos;
- Type Confusion (CVE-2020-36229)/súlyos;
- Reachable Assertion (CVE-2020-36230)/súlyos;
- Classic Buffer Overflow (CVE-2021-3177)/kritikus;
- Reachable Assertion (CVE-2021-3326)/súlyos;
- Path Traversal (CVE-2021-3426)/közepes;
- Use After Free (CVE-2021-3516)/súlyos;
- Out-of-bounds Write (CVE-2021-3517)/súlyos;
- Use After Free (CVE-2021-3518)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-3520)/kritikus;
- NULL Pointer Dereference (CVE-2021-3537)/közepes;
- XML Entity Expansion (CVE-2021-3541)/közepes;
- Improper Input Validation (CVE-2021-3580)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-3733)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-3737)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-3826)/súlyos;
- Uncontrolled Recursion (CVE-2021-3997)/közepes;
- Out-of-bounds Read (CVE-2021-3998)/súlyos;
- Off-by-one Error (CVE-2021-3999)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2021-4122)/közepes;
- Unchecked Return Value (CVE-2021-4189)/közepes;
- NULL Pointer Dereference (CVE-2021-4209)/közepes;
- Out-of-bounds Read (CVE-2021-20193)/közepes;
- Use After Free (CVE-2021-20227)/közepes;
- Use After Free (CVE-2021-20231)/kritikus;
- Use After Free (CVE-2021-20232)/kritikus;
- Out-of-bounds Write (CVE-2021-20305)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-22876)/közepes;
- Authentication Bypass by Spoofing (CVE-2021-22890)/alacsony;
- Exposure of Resource to Wrong (CVE-2021-22897)/közepes;
- Missing Initialization of Resource (CVE-2021-22898)/alacsony;
- Use After Free (CVE-2021-22901)/súlyos;
- Improper Validation of Integrity Check Value (CVE-2021-22922)/közepes;
- Insufficiently Protected Credentials (CVE-2021-22923)/közepes;
- Use of Incorrectly-Resolved Name or Reference (CVE-2021-22924)/alacsony;
- Use of Uninitialized Resource (CVE-2021-22925)/közepes;
- Improper Certificate Validation (CVE-2021-22926)/súlyos;
- Double Free (CVE-2021-22945)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2021-22946)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2021-22947)/közepes;
- Improper Input Validation (CVE-2021-23336)/közepes;
- Reachable Assertion (CVE-2021-27212)/súlyos;
- Incorrect Conversion Between Numeric Types (CVE-2021-27218)/súlyos;
- Incorrect Conversion Between Numeric Types (CVE-2021-27219)/súlyos;
- Double Free (CVE-2021-27645)/alacsony;
- Double Free (CVE-2021-28041)/súlyos;
- Link Following (CVE-2021-28153)/közepes;
- Improper Certification Validation (CVE-2021-28363)/közepes;
- Open Redirect (CVE-2021-28861)/súlyos;
- Out-of-bounds Read (CVE-2021-31239)/súlyos;
- Out-of-bounds Write (CVE-2021-32292)/kritikus;
- Infinite Loop (CVE-2021-33294)/közepes;
- Observable Discrepancy (CVE-2021-33560)/súlyos;
- Use After Free (CVE-2021-33574)/kritikus;
- Allocation of Resources without Limits or Throttling (CVE-2021-33910)/közepes;
- Integer Overflow or Wraparound (CVE-2021-35942)/kritikus;
- Use After Free (CVE-2021-36084)/alacsony;
- Use After Free (CVE-2021-36085)/alacsony;
- Use After Free (CVE-2021-36086)/alacsony;
- Out-of-bounds Read (CVE-2021-36087)/alacsony;
- NULL Pointer Dereference (CVE-2021-36222)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-36690)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-37600)/közepes;
- NULL Pointer Dereference (CVE-2021-37750)/közepes;
- NULL Pointer Dereference (CVE-2021-38604)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-41617)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-43396)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-43618)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-45960)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-46143)/súlyos;
- Uncontrolled Recursion (CVE-2021-46195)/közepes;
- Allocation of Resources without Limits or Throttling (CVE-2021-46828)/súlyos;
- Off-by-one Error (CVE-2021-46848)/kritikus;
- Injection (CVE-2022-0391)/súlyos;
- Generation of Error Message Containing Sensitive Information (CVE-2022-0563)/közepes;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Improper Input Validation (CVE-2022-1271)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Out-of-bounds Write (CVE-2022-1304)/súlyos;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-1434)/közepes;;
- Improper Resource Shutdown or Realese (CVE-2022-1473)/súlyos;
- OS Command Injection (CVE-2022-2068)/kritikus;
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- Out-of-bounds Write (CVE-2022-2274)/kritikus;
- Double Free (CVE-2022-2509)/súlyos;
- Out-of-bounds Write (CVE-2022-3715)/súlyos;
- Off-by-one Error (CVE-2022-3821)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Improper Authentication (CVE-2022-22576)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22822)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22823)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22824)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22825)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22826)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22827)/súlyos;
- Classic Buffer Overflow (CVE-2022-23218)/kritikus;
- Classic Buffer Overflow (CVE-2022-23219)/kritikus;
- Use After Free (CVE-2022-23308)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-23852)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-23990)/kritikus;
- SQL Injection (CVE-2022-24407)/súlyos;
- Improper Encoding or Escaping of Output (CVE-2022-25235)/kritikus;
- Exposure of Resource to Wrong Sphere (CVE-2022-25236)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-25313)/közepes;
- Integer Overflow or Wraparound (CVE-2022-25314)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-25315)/kritikus;
- Untrusted Search Path (CVE-2022-26488)/súlyos;
- Insufficiently Protected Credentials (CVE-2022-27774)/közepes;
- Missing Encryption or Sensitive Data (CVE-2022-27775)/súlyos;
- Insufficiently Protected Credentials (CVE-2022-27776)/közepes;
- Use of Incorrectly-Resolved Name or Reference (CVE-2022-27778)/súlyos;
- Missing Encryption or Sensitive Data (CVE-2022-27779)/közepes;
- Server-Side Request Forgery (SSRF) (CVE-2022-27780)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-27781)/súlyos;
- Improper Certificate Validation (CVE-2022-27782)/súlyos;
- Uncontrolled Recursion (CVE-2022-27943)/közepes;
- Improper Authentication (CVE-2022-28321)/kritikus;
- SQL Injection (CVE-2022-29155)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-29824)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2022-30115)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permission (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Expected Behavior Violation (CVE-2022-32221)/súlyos;
- Improper Validation of Syntatic Correctness of Input (CVE-2022-35252)/súlyos;
- Static Buffer Overflow (CVE-2022-35260)
- Improper Validation of Array Index (CVE-2022-35737)/súlyos;
- Out-of-bounds Write (CVE-2022-37434)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-37454)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Use After Free (CVE-2022-40674)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-42898)/súlyos;
- Double Free (CVE-2022-42915)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-42916)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-43551)/súlyos;
- Use After Free (CVE-2022-43552)/közepes;
- Use After Free (CVE-2022-43680)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2022-45061)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-45873)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-46908)/súlyos;
- Out-of-bounds Read (CVE-2022-48303)/közepes;
- Out-of-bounds Write (CVE-2022-48522)/kritikus;
- Use After Free (CVE-2022-48560)/súlyos;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Observable Discrepancy (CVE-2023-0361)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Classic Buffer Overflow (CVE-2023-0687)/közepes;
- Type Confusion (CVE-2023-1077)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-1206)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/közepes;
- NULL Pointer Dereference (CVE-2023-2953)/súlyos;
- NULL Pointer Dereference (CVE-2023-3212)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Use After Free (CVE-2023-3609)/súlyos;
- Out-of-bounds Write (CVE-2023-3611)/súlyos;
- NULL Pointer Dereference (CVE-2023-3772)/közepes;
- Excessive Iteration (CVE-2023-3817)/közepes;
- Heap-based Buffer Overflow (CVE-2023-4016)/alacsony;
- Protection Mechanism Failure (CVE-2023-4039)/közepes;
- Out-of-bounds Read (CVE-2023-4527)/közepes;
- Use After Free (CVE-2023-4623)/súlyos;
- Use After Free (CVE-2023-4806)/közepes;
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Use After Free (CVE-2023-4813)/közepes;
- Stack-based Buffer Overflow (CVE-2023-4911)/súlyos;
- Use After Free (CVE-2023-4921)/súlyos;
- Missing Release of Memory After Effective Lifetime (CVE-2023-5156)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Out-of-bounds Write (CVE-2023-5717)/súlyos;
- Observable Discrepancy (CVE-2023-5981)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2023-23914)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2023-23915)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-23916)/közepes;
- Improper Input Validation (CVE-2023-24329)/súlyos;
- Double Free (CVE-2023-25136)/közepes;
- Out-of-bounds Write (CVE-2023-25139)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2023-26604)/súlyos;
- Improper Input Validation (CVE-2023-27371)/közepes;
- Injection (CVE-2023-27533)/súlyos;
- Path Traversal (CVE-2023-27534)/súlyos;
- Improper Authentication (CVE-2023-27535)/közepes;
- Improper Authentication (CVE-2023-27536)/közepes;
- Double Free (CVE-2023-27537)/közepes;
- Improper Input Validation (CVE-2023-27538)/súlyos;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28531)/kritikus;
- Injection (CVE-2023-29383)/alacsony;
- Double Free (CVE-2023-29469)/közepes;
- Out-of-bounds Write (CVE-2023-29491)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-29499)/súlyos;
- Divide by Zero (CVE-2023-31085)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32611)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32636)/közepes;
- Heap-based Buffer Overflow (CVE-2023-32643)/közepes;
- Deserialization of Untrusted Data (CVE-2023-32665)/közepes;
- Out-of-bounds Write (CVE-2023-34319)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-34969)/közepes;
- Out-of-bounds Write (CVE-2023-35001)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-35945)/súlyos;
- Improper Input Validation (CVE-2023-38408)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38545)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-38546)/alacsony;
- Out-of-bounds Write (CVE-2023-39128)/közepes;
- Out-of-bounds Read (CVE-2023-39189)/közepes;
- Out-of-bounds Read (CVE-2023-39192)/közepes;
- Out-of-bounds Read (CVE-2023-39193)/közepes;
- Out-of-bounds Read (CVE-2023-39194)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
- Use After Free (CVE-2023-40283)/súlyos;
- NULL Pointer Dereference (CVE-2023-42754)/közepes;
- Out-of-bounds Read (CVE-2023-42755)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
- Use After Free (CVE-2023-45322)/közepes;
- Integer Overflow or Wraparound (CVE-2023-45853)/kritikus;
- Classic Buffer Overflow (CVE-2023-45871)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden, V7.2.2-nél korábbi verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden, V7.2.2-nél korábbi verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden, V7.2.2-nél korábbi verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden, V7.2.2-nél korábbi verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE S615 EEC (6GK5615-0AA01-2AA2) minden, V7.2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- OS Command Injection (CVE-2023-49692)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC INS V1.0 SP2 Update 2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Input Validation (CVE-2023-27538)/súlyos;
- Improper Certificate Validation (CVE-2023-48427)/súlyos;
- OS Command Injection (CVE-2023-48428)/súlyos;
- Unexpected Status Code or Return Value (CVE-2023-48429)/alacsony;
- Missing Report of Error Condition (CVE-2023-48430)/alacsony;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-48431)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Opcenter Quality minden verziója;
- SIMATIC PCS neo minden, v4.1-nél korábbi verziója;
- SINUMERIK Integrate RunMyHMI /Automotive minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v14 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v15.1 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v16 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v17 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v18 minden, V18 update 3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Permissive Cross-domain Policy with Untrusted Domains (CVE-2023-46281)/súlyos;
- Cross-site Scripting (CVE-2023-46282)/súlyos;
- Classic Buffer Overflow (CVE-2023-46283)/súlyos;
- Classic Buffer Overflow (CVE-2023-46284)/súlyos;
- Improper Input Validation (CVE-2023-46285)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- LOGO! 12/24RCE (6ED1052-1MD08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 12/24RCEo (6ED1052-2MD08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24CE (6ED1052-1CC08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24CEo (6ED1052-2CC08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24RCE (6ED1052-1HB08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24RCEo (6ED1052-2HB08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 230RCE (6ED1052-1FB08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 230RCEo (6ED1052-2FB08-0BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 12/24RCE (6AG1052-1MD08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 12/24RCEo (6AG1052-2MD08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24CEo (6AG1052-2CC08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24RCE (6AG1052-1HB08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24RCEo (6AG1052-2HB08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 230RCEo (6AG1052-2FB08-7BA1) minden, v8.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Protection against Electromagnetic Fault Injection (EM-FI) (CVE-2022-42784)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Siemens ABB Schneider Electric ICS sérülékenység Siemens ProductCERT CODESYS

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr318283785

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása