Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CCCXCVII

Sérülékenységek ABB, CODESYS, Schneider Electric és Siemens rendszerekben

2023. december 20. - icscybersec

Bejelentés dátuma: 2023.11.03.
Gyártó: ABB
Érintett rendszer(ek):
- ABB Ability™ Genix 21.1, 22.2, 23.1-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Remote Code Execution (CVE-2023-46604)/kritikus;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.12.05.
Gyártó: CODESYS
Érintett rendszer(ek):
- BeagleBone SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- emPC-A/iMX6 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- IOT2000 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- Linux ARM SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- Linux SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- PFC100 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- PFC200 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- PLCnext SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- Raspberry Pi SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- WAGO Touch Panels 600 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Neutralization of Special Elements used in an OS Command (CVE-2023-6357)/súlyos;
Javítás: Részben elérhető, a végleges javítás 2024. januárra várható.
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2023.12.05.
Gyártó: CODESYS
Érintett rendszer(ek):
- WIBU Codemeter-t használó Linux ARM SL CODESYS vezérlőinek 4.10.0.0-nál korábbi verziói;
- WIBU Codemeter-t használó Linux SL CODESYS vezérlőinek 4.10.0.0-nál korábbi verziói;
- WIBU Codemeter-t használó RTE SL for Beckhoff CX CODESYS vezérlőinek 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó RTE (SL) CODESYS vezérlőinek 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó Win (SL) CODESYS vezérlőinek 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS Development System 2.3.9.45-ös és újabb verziói;
- WIBU Codemeter-t használó CODESYS Development System 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS HMI (SL) 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS OPC OA Server SL 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS SP Realtime NT 2.3.7.25-ös és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based buffer overflow (CVE-2023-3935)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-035/

Bejelentés dátuma: 2023.12.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easy UPS Online Monitoring szoftver 2.6-GA-01-23116 és korábbi, Windows 10, 11, Windows
Server 2016, 2019 és 2022 verziókra telepített verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-6407)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2023.12.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Trio Q-sorozatú Ethernet Data Radio minden verziója;
- Trio E-sorozatú Ethernet Data Radio minden verziója;
- Trio J-sorozatú Ethernet Data Radio minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Open Redirect (CVE-2023-5629)/súlyos;
- Download of Code Without Integrity Check (CVE-2023-5630)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.12.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Plant iT/Brewmaxx v9.60-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Remote Code Execution (CVE-2022-0543)/kritikus;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK MC minden, V1.22-nél korábbi verziója;
- SINUMERIK ONE minden, V6.22-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2023-28831)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AC0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AC0) minden, V3.1.0-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0) minden, V3.1.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2013-0340)/kritikus;
- Race Condition (CVE-2013-4235)/közepes;
- Command Injection (CVE-2014-7209)/kritikus;
- Command Injection (CVE-2015-20107)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2016-3189)/közepes;
- Cross-site Scripting (CVE-2016-3709)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2016-4658)/kritikus;
- Use After Free (CVE-2016-5131)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2016-9318)/közepes;
- Improper Input Validation (CVE-2016-10228)/közepes;
- Improper Input Validation (CVE-2016-10739)/közepes;
- Out-of-bounds Write (CVE-2017-0663)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2017-7375)/kritikus;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-7376)/kritikus;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-9047)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-9048)/súlyos;
- Out-of-bounds Read (CVE-2017-9049)/súlyos;
- Out-of-bounds Read (CVE-2017-9050)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-16931)/kritikus;
- Infinite Loop (CVE-2017-16932)/súlyos;
- Injection (CVE-2017-17512)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2017-18258)/közepes;
- Observable Discrepancy (CVE-2018-0495)/közepes;
- Generation of Error Message Containing Sensitive Information (CVE-2018-12886)/súlyos;
- NULL Pointer Dereference (CVE-2018-14404)/súlyos;
- Infinite Loop (CVE-2018-14567)/közepes;
- Integer Overflow or Wraparound (CVE-2018-18928)/kritikus;
- Improper Input Validation (CVE-2018-19591)/súlyos;
- Infinite Loop (CVE-2018-20482)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2018-20843)/súlyos;
- Out-of-bounds Write (CVE-2018-25032)/közepes;
- Out-of-bounds Write (CVE-2019-3855)/súlyos;
- Out-of-bounds Write (CVE-2019-3856)/súlyos;
- Out-of-bounds Write (CVE-2019-3857)/súlyos;
- Out-of-bounds Read (CVE-2019-3858)/kritikus;
- Out-of-bounds Read (CVE-2019-3859)/kritikus;
- Out-of-bounds Read (CVE-2019-3860)/kritikus;
- Out-of-bounds Read (CVE-2019-3861)/kritikus
- Out-of-bounds Read (CVE-2019-3862)/kritikus;
- Out-of-bounds Write (CVE-2019-3863)/súlyos;
- Use After Free (CVE-2019-5018)/súlyos;
- Out-of-bounds Write (CVE-2019-5094)/súlyos;
- Out-of-bounds Write (CVE-2019-5188)/súlyos;
- Integer Overflow or Wraparound (CVE-2019-5435)/alacsony;
- Out-of-bounds Write (CVE-2019-5436)/súlyos;
- Uncontrolled Search Path Element (CVE-2019-5443)/súlyos;
- Double Free (CVE-2019-5481)/kritikus;
- Out-of-bounds Write (CVE-2019-5482)/kritikus;
- Improper Encoding or Escaping of Output (CVE-2019-6109)/közepes;
- Inappropriate Encoding for Output Context (CVE-2019-6110)/közepes;
- Path Traversal (CVE-2019-6111)/közepes;
- Improper Resource Shutdown or Release (CVE-2019-6488)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2019-7309)/közepes;
- Out-of-bounds Read (CVE-2019-8457)/kritikus;
- Out-of-bounds Read (CVE-2019-9169)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2019-9636)/kritikus;
- Uncontrolled Resource Consumption (CVE-2019-9674)/súlyos;
- CRLF Injection (CVE-2019-9740)/közepes;
- NULL Pointer Dereference (CVE-2019-9923)/súlyos;
- Out-of-bounds Read (CVE-2019-9936)/súlyos;
- NULL Pointer Dereference (CVE-2019-9937)/súlyos;
- CRLF Injection (CVE-2019-9947)/közepes;
- Path Traversal (CVE-2019-9948)/kritikus;
- Encoding Error (CVE-2019-10160)/kritikus;
- Out-of-bounds Write (CVE-2019-11360)/közepes;
- Improper Input Validation (CVE-2019-12290)/súlyos;
- Out-of-bounds Write (CVE-2019-12900)/kritikus;
- Exposure of Resource to Wrong Sphere (CVE-2019-12904)/közepes;
- Missing Encryption of Sensitive Data (CVE-2019-13057)/közepes;
- Missing Encryption of Sensitive Data (CVE-2019-13565)/súlyos;
- Observable Discrepancy (CVE-2019-13627)/közepes;
- Insufficient Entropy (CVE-2019-15847)/súlyos;
- Out-of-bounds Read (CVE-2019-15903)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2019-16056)/súlyos;
- Divide By Zero (CVE-2019-16168)/közepes;
- Integer Overflow or Wraparound (CVE-2019-16905)/súlyos;
- Integer Overflow or Wraparound (CVE-2019-17498)/súlyos;
- Out-of-bounds Write (CVE-2019-17543)/súlyos;
- Out-of-bounds Read (CVE-2019-17594)/közepes;
- Out-of-bounds Read (CVE-2019-17595)/közepes;
- Out-of-bounds Write (CVE-2019-18224)/kritikus;
- Improper Check for Dropped Privileges (CVE-2019-18276)/súlyos;
- Injection (CVE-2019-18348)/közepes;
- Improper Initialization (CVE-2019-19126)/alacsony;
- NULL Pointer Dereference (CVE-2019-19242)/közepes;
- Improper Input Validation (CVE-2019-19244)/súlyos;
- Incorrect Conversion between Numeric Types (CVE-2019-19317)/kritikus;
- Improper Input Validation (CVE-2019-19603)/súlyos;
- Uncontrolled Recursion (CVE-2019-19645)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2019-19646)/kritikus;
- NULL Pointer Dereference (CVE-2019-19880)/súlyos;
- Out-of-bounds Write (CVE-2019-19906)/súlyos;
- NULL Pointer Dereference (CVE-2019-19923)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2019-19924)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2019-19925)/súlyos;
- NULL Pointer Dereference (CVE-2019-19926)/súlyos;
- Missing Release of Resource after Effective Lifetime (CVE-2019-19956)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2019-19959)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2019-20218)/súlyos;
- Out-of-bounds Read (CVE-2019-20367)/kritikus;
- Missing Release of Memory after Effective Lifetime (CVE-2019-20388)/súlyos;
- Use After Free (CVE-2019-20795)/közepes;
- Infinite Loop (CVE-2019-20907)/súlyos;
- Out-of-bounds Read (CVE-2019-25013)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2019-1010022)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2019-1010023)
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2019-1010024)/közepes;
- Use of Insufficiently Random Values (CVE-2019-1010025)/közepes;
- Out-of-bounds Read (CVE-2019-1010180)/súlyos;
- Use After Free (CVE-2020-1712)/súlyos;
- Out-of-bounds Write (CVE-2020-1751)/közepes;
- Use After Free (CVE-2020-1752)/súlyos;
- Signed to Unsigned Conversion Error (CVE-2020-6096)/súlyos;
- Infinite Loop (CVE-2020-7595)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2020-8169)/súlyos;
- Injection (CVE-2020-8177)/súlyos;
- Use After Free (CVE-2020-8231)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2020-8284)/alacsony;
- Uncontrolloed Recursion (CVE-2020-8285)/súlyos;
- Improper Certificate Validation (CVE-2020-8286)/súlyos;
- Uncontrolloed Search Path Element (CVE-2020-8315)/közepes;
- Uncontrolloed Resource Consumption (CVE-2020-8492)/közepes;
- NULL Pointer Dereference (CVE-2020-9327)/súlyos;
- Out-of-bounds Write (CVE-2020-10029)/közepes;
- Out-of-bounds Write (CVE-2020-10531)/súlyos;
- Out-of-bounds Write (CVE-2020-10543)/súlyos;
- Incorrect Type Conversion or Cast (CVE-2020-10735)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-10878)/súlyos;
- Use of Insufficiently Random Values (CVE-2020-11501)/súlyos;
- Improper Initialization (CVE-2020-11655)/súlyos;
- Use After Free (CVE-2020-11656)/kritikus;
- Improper Input Validation (CVE-2020-12062)/súlyos;
- Uncontrolloed Recursion (CVE-2020-12243)/súlyos;
- Classic Buffer Overflow (CVE-2020-12723)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-12762)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-13434)/közepes;
- NULL Pointer Dereference (CVE-2020-13435)/közepes;
- Authentication Bypass by Spoofing (CVE-2020-13529)/közepes;
- Use After Free (CVE-2020-13630)/súlyos;
- Improper Input Validation (CVE-2020-13631)/közepes;
- NULL Pointer Dereference (CVE-2020-13632)/közepes;
- Improper Privilege Management (CVE-2020-13776)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2020-13777)/súlyos;
- Use After Free (CVE-2020-13871)/súlyos;
- Observable Discrepancy (CVE-2020-14145)/közepes;
- Incorrect Calculation (CVE-2020-14422)/közepes;
- Out-of-bounds Write (CVE-2020-15358)/közepes;
- Uncontrolled Search Path Element (CVE-2020-15523)/súlyos;
- OS Command Injection (CVE-2020-15778)/súlyos;
- Untrusted Search Path (CVE-2020-15801)/kritikus;
- Out-of-bounds Write (CVE-2020-19185)/közepes;
- Out-of-bounds Write (CVE-2020-19186)/közepes;
- Out-of-bounds Write (CVE-2020-19187)/közepes;
- Out-of-bounds Write (CVE-2020-19188)/közepes;
- Out-of-bounds Write (CVE-2020-19189)/közepes;
- Out-of-bounds Write (CVE-2020-19190)/közepes;
- Integer Overflow or Wraparound (CVE-2020-19909)/alacsony;
- Out-of-bounds Write (CVE-2020-21047)/közepes;
- Use After Free (CVE-2020-21913)/közepes;
- Out-of-bounds Write (CVE-2020-22218)/súlyos;
- Out-of-bounds Write (CVE-2020-24659)/súlyos;
- Out-of-bounds Read (CVE-2020-24977)/közepes;
- NULL Pointer Dereference (CVE-2020-25692)/súlyos;
- Reachable Assertion (CVE-2020-25709)/súlyos;
- Reachable Assertion (CVE-2020-25710)/súlyos;
- Injection (CVE-2020-26116)/súlyos;
- Infinite Loop (CVE-2020-27618)/közepes;
- Uncontrolloed Recursion (CVE-2020-28196)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-29361)/súlyos;
- Out-of-bounds Read (CVE-2020-29362)/közepes;
- Out-of-bounds Write (CVE-2020-29363)/súlyos;
- Reachable Assertion (CVE-2020-29562)/közepes;
- Out-of-bounds Write (CVE-2020-29573)/súlyos;
- NULL Pointer Dereference (CVE-2020-35525)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-35527)/kritikus;
- Integer Overflow or Wraparound (CVE-2020-36221)/súlyos;
- Reachable Assertion (CVE-2020-36222)/súlyos;
- Out-of-bounds Read (CVE-2020-36223)/súlyos;
- Release of Invalid Pointer or Reference (CVE-2020-36224)/súlyos;
- Double Free (CVE-2020-36225)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2020-36226)/súlyos;
- Infinite Loop (CVE-2020-36227)/súlyos;
- Wrap or Wraparound (CVE-2020-36228)/súlyos;
- Type Confusion (CVE-2020-36229)/súlyos;
- Reachable Assertion (CVE-2020-36230)/súlyos;
- Classic Buffer Overflow (CVE-2021-3177)/kritikus;
- Reachable Assertion (CVE-2021-3326)/súlyos;
- Path Traversal (CVE-2021-3426)/közepes;
- Use After Free (CVE-2021-3516)/súlyos;
- Out-of-bounds Write (CVE-2021-3517)/súlyos;
- Use After Free (CVE-2021-3518)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-3520)/kritikus;
- NULL Pointer Dereference (CVE-2021-3537)/közepes;
- XML Entity Expansion (CVE-2021-3541)/közepes;
- Improper Input Validation (CVE-2021-3580)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-3733)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-3737)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-3826)/súlyos;
- Uncontrolled Recursion (CVE-2021-3997)/közepes;
- Out-of-bounds Read (CVE-2021-3998)/súlyos;
- Off-by-one Error (CVE-2021-3999)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2021-4122)/közepes;
- Unchecked Return Value (CVE-2021-4189)/közepes;
- NULL Pointer Dereference (CVE-2021-4209)/közepes;
- Out-of-bounds Read (CVE-2021-20193)/közepes;
- Use After Free (CVE-2021-20227)/közepes;
- Use After Free (CVE-2021-20231)/kritikus;
- Use After Free (CVE-2021-20232)/kritikus;
- Out-of-bounds Write (CVE-2021-20305)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-22876)/közepes;
- Authentication Bypass by Spoofing (CVE-2021-22890)/alacsony;
- Exposure of Resource to Wrong (CVE-2021-22897)/közepes;
- Missing Initialization of Resource (CVE-2021-22898)/alacsony;
- Use After Free (CVE-2021-22901)/súlyos;
- Improper Validation of Integrity Check Value (CVE-2021-22922)/közepes;
- Insufficiently Protected Credentials (CVE-2021-22923)/közepes;
- Use of Incorrectly-Resolved Name or Reference (CVE-2021-22924)/alacsony;
- Use of Uninitialized Resource (CVE-2021-22925)/közepes;
- Improper Certificate Validation (CVE-2021-22926)/súlyos;
- Double Free (CVE-2021-22945)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2021-22946)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2021-22947)/közepes;
- Improper Input Validation (CVE-2021-23336)/közepes;
- Reachable Assertion (CVE-2021-27212)/súlyos;
- Incorrect Conversion Between Numeric Types (CVE-2021-27218)/súlyos;
- Incorrect Conversion Between Numeric Types (CVE-2021-27219)/súlyos;
- Double Free (CVE-2021-27645)/alacsony;
- Double Free (CVE-2021-28041)/súlyos;
- Link Following (CVE-2021-28153)/közepes;
- Improper Certification Validation (CVE-2021-28363)/közepes;
- Open Redirect (CVE-2021-28861)/súlyos;
- Out-of-bounds Read (CVE-2021-31239)/súlyos;
- Out-of-bounds Write (CVE-2021-32292)/kritikus;
- Infinite Loop (CVE-2021-33294)/közepes;
- Observable Discrepancy (CVE-2021-33560)/súlyos;
- Use After Free (CVE-2021-33574)/kritikus;
- Allocation of Resources without Limits or Throttling (CVE-2021-33910)/közepes;
- Integer Overflow or Wraparound (CVE-2021-35942)/kritikus;
- Use After Free (CVE-2021-36084)/alacsony;
- Use After Free (CVE-2021-36085)/alacsony;
- Use After Free (CVE-2021-36086)/alacsony;
- Out-of-bounds Read (CVE-2021-36087)/alacsony;
- NULL Pointer Dereference (CVE-2021-36222)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-36690)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-37600)/közepes;
- NULL Pointer Dereference (CVE-2021-37750)/közepes;
- NULL Pointer Dereference (CVE-2021-38604)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-41617)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-43396)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-43618)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-45960)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-46143)/súlyos;
- Uncontrolled Recursion (CVE-2021-46195)/közepes;
- Allocation of Resources without Limits or Throttling (CVE-2021-46828)/súlyos;
- Off-by-one Error (CVE-2021-46848)/kritikus;
- Injection (CVE-2022-0391)/súlyos;
- Generation of Error Message Containing Sensitive Information (CVE-2022-0563)/közepes;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Improper Input Validation (CVE-2022-1271)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Out-of-bounds Write (CVE-2022-1304)/súlyos;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-1434)/közepes;;
- Improper Resource Shutdown or Realese (CVE-2022-1473)/súlyos;
- OS Command Injection (CVE-2022-2068)/kritikus;
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- Out-of-bounds Write (CVE-2022-2274)/kritikus;
- Double Free (CVE-2022-2509)/súlyos;
- Out-of-bounds Write (CVE-2022-3715)/súlyos;
- Off-by-one Error (CVE-2022-3821)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Improper Authentication (CVE-2022-22576)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22822)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22823)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22824)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22825)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22826)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22827)/súlyos;
- Classic Buffer Overflow (CVE-2022-23218)/kritikus;
- Classic Buffer Overflow (CVE-2022-23219)/kritikus;
- Use After Free (CVE-2022-23308)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-23852)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-23990)/kritikus;
- SQL Injection (CVE-2022-24407)/súlyos;
- Improper Encoding or Escaping of Output (CVE-2022-25235)/kritikus;
- Exposure of Resource to Wrong Sphere (CVE-2022-25236)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-25313)/közepes;
- Integer Overflow or Wraparound (CVE-2022-25314)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-25315)/kritikus;
- Untrusted Search Path (CVE-2022-26488)/súlyos;
- Insufficiently Protected Credentials (CVE-2022-27774)/közepes;
- Missing Encryption or Sensitive Data (CVE-2022-27775)/súlyos;
- Insufficiently Protected Credentials (CVE-2022-27776)/közepes;
- Use of Incorrectly-Resolved Name or Reference (CVE-2022-27778)/súlyos;
- Missing Encryption or Sensitive Data (CVE-2022-27779)/közepes;
- Server-Side Request Forgery (SSRF) (CVE-2022-27780)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-27781)/súlyos;
- Improper Certificate Validation (CVE-2022-27782)/súlyos;
- Uncontrolled Recursion (CVE-2022-27943)/közepes;
- Improper Authentication (CVE-2022-28321)/kritikus;
- SQL Injection (CVE-2022-29155)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-29824)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2022-30115)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permission (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Expected Behavior Violation (CVE-2022-32221)/súlyos;
- Improper Validation of Syntatic Correctness of Input (CVE-2022-35252)/súlyos;
- Static Buffer Overflow (CVE-2022-35260)
- Improper Validation of Array Index (CVE-2022-35737)/súlyos;
- Out-of-bounds Write (CVE-2022-37434)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-37454)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Use After Free (CVE-2022-40674)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-42898)/súlyos;
- Double Free (CVE-2022-42915)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-42916)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-43551)/súlyos;
- Use After Free (CVE-2022-43552)/közepes;
- Use After Free (CVE-2022-43680)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2022-45061)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-45873)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-46908)/súlyos;
- Out-of-bounds Read (CVE-2022-48303)/közepes;
- Out-of-bounds Write (CVE-2022-48522)/kritikus;
- Use After Free (CVE-2022-48560)/súlyos;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Observable Discrepancy (CVE-2023-0361)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Classic Buffer Overflow (CVE-2023-0687)/közepes;
- Type Confusion (CVE-2023-1077)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-1206)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/közepes;
- NULL Pointer Dereference (CVE-2023-2953)/súlyos;
- NULL Pointer Dereference (CVE-2023-3212)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Use After Free (CVE-2023-3609)/súlyos;
- Out-of-bounds Write (CVE-2023-3611)/súlyos;
- NULL Pointer Dereference (CVE-2023-3772)/közepes;
- Excessive Iteration (CVE-2023-3817)/közepes;
- Heap-based Buffer Overflow (CVE-2023-4016)/alacsony;
- Protection Mechanism Failure (CVE-2023-4039)/közepes;
- Out-of-bounds Read (CVE-2023-4527)/közepes;
- Use After Free (CVE-2023-4623)/súlyos;
- Use After Free (CVE-2023-4806)/közepes;
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Use After Free (CVE-2023-4813)/közepes;
- Stack-based Buffer Overflow (CVE-2023-4911)/súlyos;
- Use After Free (CVE-2023-4921)/súlyos;
- Missing Release of Memory After Effective Lifetime (CVE-2023-5156)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Out-of-bounds Write (CVE-2023-5717)/súlyos;
- Observable Discrepancy (CVE-2023-5981)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2023-23914)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2023-23915)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-23916)/közepes;
- Improper Input Validation (CVE-2023-24329)/súlyos;
- Double Free (CVE-2023-25136)/közepes;
- Out-of-bounds Write (CVE-2023-25139)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2023-26604)/súlyos;
- Improper Input Validation (CVE-2023-27371)/közepes;
- Injection (CVE-2023-27533)/súlyos;
- Path Traversal (CVE-2023-27534)/súlyos;
- Improper Authentication (CVE-2023-27535)/közepes;
- Improper Authentication (CVE-2023-27536)/közepes;
- Double Free (CVE-2023-27537)/közepes;
- Improper Input Validation (CVE-2023-27538)/súlyos;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28531)/kritikus;
- Injection (CVE-2023-29383)/alacsony;
- Double Free (CVE-2023-29469)/közepes;
- Out-of-bounds Write (CVE-2023-29491)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-29499)/súlyos;
- Divide by Zero (CVE-2023-31085)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32611)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32636)/közepes;
- Heap-based Buffer Overflow (CVE-2023-32643)/közepes;
- Deserialization of Untrusted Data (CVE-2023-32665)/közepes;
- Out-of-bounds Write (CVE-2023-34319)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-34969)/közepes;
- Out-of-bounds Write (CVE-2023-35001)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-35945)/súlyos;
- Improper Input Validation (CVE-2023-38408)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38545)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-38546)/alacsony;
- Out-of-bounds Write (CVE-2023-39128)/közepes;
- Out-of-bounds Read (CVE-2023-39189)/közepes;
- Out-of-bounds Read (CVE-2023-39192)/közepes;
- Out-of-bounds Read (CVE-2023-39193)/közepes;
- Out-of-bounds Read (CVE-2023-39194)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
- Use After Free (CVE-2023-40283)/súlyos;
- NULL Pointer Dereference (CVE-2023-42754)/közepes;
- Out-of-bounds Read (CVE-2023-42755)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
- Use After Free (CVE-2023-45322)/közepes;
- Integer Overflow or Wraparound (CVE-2023-45853)/kritikus;
- Classic Buffer Overflow (CVE-2023-45871)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden, V7.2.2-nél korábbi verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden, V7.2.2-nél korábbi verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden, V7.2.2-nél korábbi verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden, V7.2.2-nél korábbi verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE S615 EEC (6GK5615-0AA01-2AA2) minden, V7.2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- OS Command Injection (CVE-2023-49692)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC INS V1.0 SP2 Update 2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Input Validation (CVE-2023-27538)/súlyos;
- Improper Certificate Validation (CVE-2023-48427)/súlyos;
- OS Command Injection (CVE-2023-48428)/súlyos;
- Unexpected Status Code or Return Value (CVE-2023-48429)/alacsony;
- Missing Report of Error Condition (CVE-2023-48430)/alacsony;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-48431)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Opcenter Quality minden verziója;
- SIMATIC PCS neo minden, v4.1-nél korábbi verziója;
- SINUMERIK Integrate RunMyHMI /Automotive minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v14 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v15.1 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v16 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v17 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v18 minden, V18 update 3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Permissive Cross-domain Policy with Untrusted Domains (CVE-2023-46281)/súlyos;
- Cross-site Scripting (CVE-2023-46282)/súlyos;
- Classic Buffer Overflow (CVE-2023-46283)/súlyos;
- Classic Buffer Overflow (CVE-2023-46284)/súlyos;
- Improper Input Validation (CVE-2023-46285)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- LOGO! 12/24RCE (6ED1052-1MD08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 12/24RCEo (6ED1052-2MD08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24CE (6ED1052-1CC08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24CEo (6ED1052-2CC08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24RCE (6ED1052-1HB08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24RCEo (6ED1052-2HB08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 230RCE (6ED1052-1FB08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 230RCEo (6ED1052-2FB08-0BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 12/24RCE (6AG1052-1MD08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 12/24RCEo (6AG1052-2MD08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24CEo (6AG1052-2CC08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24RCE (6AG1052-1HB08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24RCEo (6AG1052-2HB08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 230RCEo (6AG1052-2FB08-7BA1) minden, v8.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Protection against Electromagnetic Fault Injection (EM-FI) (CVE-2022-42784)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr8018283785

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása