Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CDVI

Sérülékenységek Siemens, Schneider Electric és Rockwell Automation rendszerekben

2024. február 21. - icscybersec

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC RTLS Gateway RTLS4030G, CMIIT (6GT2701-5DB23) minden verziója;
- SIMATIC RTLS Gateway RTLS4030G, ETSI (6GT2701-5DB03) minden verziója;
- SIMATIC RTLS Gateway RTLS4030G, FCC (6GT2701-5DB13) minden verziója;
- SIMATIC RTLS Gateway RTLS4030G, ISED (6GT2701-5DB33) minden verziója;
- SIMATIC RTLS Gateway RTLS4430G, Chirp, ETSI, FCC, ISED, IP65 (6GT2701-5CB03) minden verziója;
Sérülékenység(ek) neve/CVSSv4 szerinti besorolása:
- Improper Handling of Length Parameter Inconsistency (CVE-2020-11896)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Unicam FX minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Use of Privileged APIs (CVE-2024-22042)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden verziója;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) minden verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) V3.0.2-nél korábbi verziói;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) V3.1-nél korábbi verziói;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Forced Browsing (CVE-2023-44320)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
- Unchecked Return Value (CVE-2023-44322)/alacsony;
- Injection (CVE-2023-44373)/kritikus;
- OS Command Injection (CVE-2023-49691)/súlyos;
- OS Command Injection (CVE-2023-49692)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-45614)/kritikus
- Classic Buffer Overflow (CVE-2023-45615)/kritikus
- Classic Buffer Overflow (CVE-2023-45616)/kritikus
- Improper Input Validation (CVE-2023-45617)/súlyos;
- Improper Input Validation (CVE-2023-45618)/súlyos;
- Improper Input Validation (CVE-2023-45619)/súlyos;
- Improper Input Validation (CVE-2023-45620)/súlyos;
- Improper Input Validation (CVE-2023-45621)/súlyos;
- Improper Input Validation (CVE-2023-45622)/súlyos;
- Improper Input Validation (CVE-2023-45623)/súlyos;
- Improper Input Validation (CVE-2023-45624)/súlyos;
- Command Injection (CVE-2023-45625)/súlyos;
- Improper Input Validation (CVE-2023-45626)/súlyos;
- Improper Input Validation (CVE-2023-45627)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERTICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden, V2.0 SP1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-4203)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- NULL Pointer Dereference (CVE-2023-0216)/súlyos;
- NULL Pointer Dereference (CVE-2023-0217)/súlyos;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- NULL Pointer Dereference (CVE-2023-0401)/súlyos;
- Out-of-bounds Read (CVE-2023-1255)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-2454)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-2455)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/közepes;
- Improper Authentication (CVE-2023-2975)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Excessive Iteration (CVE-2023-3817)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-25690)/kritikus;
- HTTP Request/Response Smuggling (CVE-2023-27522)/súlyos;
- Injection (CVE-2023-27533)/súlyos;
- Path Traversal (CVE-2023-27534)/súlyos;
- Improper Authentication (CVE-2023-27535)/közepes;
- Improper Authentication (CVE-2023-27536)/közepes;
- Double Free (CVE-2023-27537)/közepes;
- Improper Input Validation (CVE-2023-27538)/súlyos;
- Use After Free (CVE-2023-28319)/súlyos;
- Race Condition (CVE-2023-28320)/közepes;
- Improper Certificate Validation (CVE-2023-28321)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28322)/alacsony;
- Off-by-one Error (CVE-2023-28709)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-30581)/súlyos;
- Improper Input Validation (CVE-2023-30582)/súlyos;
- Improper Input Validation (CVE-2023-30583)/közepes;
- Improper Input Validation (CVE-2023-30584)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-30585)/súlyos;
- Missing Authorization (CVE-2023-30586)/súlyos;
- Improper Input Validation (CVE-2023-30587)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-30588)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-30589)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-30590)/súlyos;
- Use of Insufficiently Random Values (CVE-2023-31124)/alacsony;
- Buffer Underflow (CVE-2023-31130)/közepes;
- Use of Insufficiently Random Values (CVE-2023-31147)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-32002)/közepes;
- Path Traversal (CVE-2023-32003)/közepes;
- Path Traversal (CVE-2023-32004)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-32005)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-32006)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32067)/súlyos;
- Path Traversal (CVE-2023-32558)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-32559)/súlyos;
- Incorrect Authorization (CVE-2023-34035)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-35945)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-38039)/súlyos;
- Type Confusion (CVE-2023-38199)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38545)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2023-38546)/súlyos;
- SQL Injection (CVE-2023-39417)/alacsony;
- Missing Encryption of Sensitive Data (CVE-2023-39418)/súlyos;
- Open Redirect (CVE-2023-41080)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-46120)/közepes;
- SQL Injection (CVE-2024-23810)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2024-23811)/súlyos;
- OS Command Injection (CVE-2024-23812)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion ALM minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2023-50236)/súlyos;
- Improper Authentication (CVE-2024-23813)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT 

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE XCH328 (6GK5328-4TS01-2EC2) minden V2.4-nél korábbi verziója;
- SCALANCE XCM324 (6GK5324-8TS01-2AC2) minden V2.4-nél korábbi verziója;
- SCALANCE XCM328 (6GK5328-4TS01-2AC2) minden V2.4-nél korábbi verziója;
- SCALANCE XCM332 (6GK5332-0GA01-2AC2) minden V2.4-nél korábbi verziója;
- SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (2x230 V AC, 8xFO) (6GK5334-2TS01-4AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (2x230 V AC, 12xFO) (6GK5334-3TS01-4AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (24 V DC, 8xFO) (6GK5334-2TS01-2AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (24 V DC, 12xFO) (6GK5334-3TS01-2AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (230 V AC, 8xFO) (6GK5334-2TS01-3AR3) minden V2.4-nél korábbi verziója;
- SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) minden V2.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write CVE-2006-20001)/súlyos;
- Incorrect Type Conversion or Cast (CVE-2020-10735)/súlyos;
- Improper Verification of Cryptographic Signature (CVE-2021-3445)/súlyos;
- Out-of-bounds Write (CVE-2021-3638)/közepes;
- Improper Access Control (CVE-2021-4037)/súlyos;
- Improper Authentication (CVE-2021-36369)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-43666)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-45451)/súlyos;
- Out-of-bounds Write (CVE-2022-1015)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2022-1348)/közepes;
- Use After Free (CVE-2022-2586)/közepes;
- HTTP Request/Response Smuggling (CVE-2022-2880)/súlyos;
- Improper Input Validation (CVE-2022-3294)/közepes;
- Heap-based Buffer Overflow (CVE-2022-3437)/közepes;
- Integer Overflow or Wraparound (CVE-2022-3515)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2022-4415)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-4743)/súlyos;
- Double Free (CVE-2022-4744)/súlyos;
- Out-of-bounds Write (CVE-2022-4900)/közepes;
- Improper Validation of Specified Quantity in Input (CVE-2022-4904)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-23471)/közepes;
- Integer Overflow or Wraparound (CVE-2022-23521)/kritikus;
- Heap-based Buffer Overflow (CVE-2022-24834)/súlyos;
- Incorrect Comparison (CVE-2022-26691)/közepes;
- Out-of-bounds Write (CVE-2022-28737)/súlyos;
- Double Free (CVE-2022-28738)/kritikus;
- Out-of-bounds Read (CVE-2022-28739)/súlyos;
- Improper Input Validation (CVE-2022-29154)/súlyos;
- Incorrect Default Permissions (CVE-2022-29162)/közepes;
- Improper Ownership Management (CVE-2022-29187)/súlyos;
- Out-of-bounds Write (CVE-2022-29536)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-32148)/közepes;
- Injection (CVE-2022-34903)/közepes;
- Type Confusion (CVE-2022-34918)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2022-36021)/közepes;
- NULL Pointer Dereference (CVE-2022-36227)/kritikus;
- HTTP Request/Response Smuggling (CVE-2022-36760)/kritikus;
- HTTP Request/Response Splitting (CVE-2022-37436)/közepes;
- Integer Overflow or Wraparound (CVE-2022-37454)/kritikus;
- NULL Pointer Dereference (CVE-2022-37797)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-38725)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-39189)/súlyos;
- Out-of-bounds Write (CVE-2022-39260)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-41409)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2022-41556)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-41715)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-41717)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-41723)/súlyos;
- NULL Pointer Dereference (CVE-2022-41860)/súlyos;
- Improper Input Validation (CVE-2022-41861)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-41862)/alacsony;
- Integer Overflow or Wraparound (CVE-2022-41903)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2022-42919)/súlyos;
- Out-of-bounds Write (CVE-2022-44370)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2022-45061)/súlyos;
- Improper Validation of Integrity Check Value (CVE-2022-45142)/súlyos;
- Use After Free (CVE-2022-45919)/súlyos;
- Observable Discrepancy (CVE-2022-46392)/közepes;
- Out-of-bounds Read (CVE-2022-46393)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-47629)/kritikus;
- Out-of-bounds Read (CVE-2022-48303)/közepes;
- Use After Free (CVE-2022-48434)/súlyos;
- Improper Locking (CVE-2023-0160)/közepes;
- Out-of-bounds Write (CVE-2023-0330)/közepes;
- Observable Discrepancy (CVE-2023-0361)/súlyos;
- Use After Free (CVE-2023-0494)/súlyos;
- Improper Input Validation (CVE-2023-0567)/súlyos;
- Incorrect Calculation of Buffer Size (CVE-2023-0568)/súlyos;
- Use After Free (CVE-2023-0590)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-0662)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-1206)/közepes;
- Out-of-bounds Read (CVE-2023-1380)/súlyos;
- Use After Free (CVE-2023-1393)/súlyos;
- Use After Free (CVE-2023-1611)/közepes;
- Use After Free (CVE-2023-1670)/súlyos;
- Use After Free (CVE-2023-1838)/súlyos;
- Use After Free (CVE-2023-1855)/közepes;
- Use After Free (CVE-2023-1859)/közepes;
- Use After Free (CVE-2023-1989)/közepes;
- Use After Free (CVE-2023-1990)/közepes;
- Incorrect Authorization (CVE-2023-2002)/közepes;
- Out-of-bounds Write (CVE-2023-2124)/súlyos;
- Out-of-bounds Write (CVE-2023-2194)/közepes;
- Improper Locking (CVE-2023-2269)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-2861)/súlyos;
- NULL Pointer Dereference (CVE-2023-2953)/súlyos;
- Improper Removal of Sensitive Information Before Storage or Transfer (CVE-2023-3006)/közepes;
- Out-of-bounds Write (CVE-2023-3090)/súlyos;
- Use After Free (CVE-2023-3111)/súlyos;
- Use After Free (CVE-2023-3141)/súlyos;
- NULL Pointer Dereference (CVE-2023-3212)/közepes;
- Unchecked Return Value (CVE-2023-3247)/alacsony;
- Out-of-bounds Read (CVE-2023-3268)/súlyos;
- Race Condition (CVE-2023-3301)/közepes;
- NULL Pointer Dereference (CVE-2023-3316)/közepes;
- Use After Free (CVE-2023-3390)/súlyos;
- Out-of-bounds Write (CVE-2023-3611)/súlyos;
- Use After Free (CVE-2023-3776)/súlyos;
- Use After Free (CVE-2023-3863)/közepes;
- Use After Free (CVE-2023-4128)/súlyos;
- Incorrect Authorization (CVE-2023-4194)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-20593)/közepes;
- Out-of-bounds Write (CVE-2023-21255)/súlyos;
- Link Following (CVE-2023-22490)/közepes;
- Improper Verification of Cryptographic Signature (CVE-2023-22742)/közepes;
- Classic Buffer Overflow (CVE-2023-22745)/közepes;
- Type Confusion (CVE-2023-23454)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-23931)/közepes;
- Improper Input Validation (CVE-2023-23934)/alacsony;
- Path Traversal (CVE-2023-23946)/közepes;
- Code Injection (CVE-2023-24538)/kritikus;
- Allocation of Resources Without Limits or Throttling (CVE-2023-25153)/közepes;
- Integer Overflow or Wraparound (CVE-2023-25155)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-25193)/súlyos;
- Use of Uninitialized Resource (CVE-2023-25588)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-25690)/kritikus;
- Cross-site Scripting (CVE-2023-25727)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2023-26081)/súlyos;
- Out-of-bounds Write (CVE-2023-26965)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-27522)/súlyos;
- Path Traversal (CVE-2023-27534)/súlyos;
- Improper Authentication (CVE-2023-27535)/közepes;
- Improper Authentication (CVE-2023-27536)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28450)/súlyos;
- NULL Pointer Dereference (CVE-2023-28466)/súlyos;
- Improper Encoding or Escaping of Output (CVE-2023-28486)/közepes;
- Improper Encoding or Escaping of Output (CVE-2023-28487)/közepes;
- Code Injection (CVE-2023-29402)/kritikus;
- Code Injection (CVE-2023-29404)/kritikus;
- Injection (CVE-2023-29405)/kritikus;
- Interpretation Conflict (CVE-2023-29406)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-29409)/közepes;
- Out-of-bounds Write (CVE-2023-30086)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-30456)/közepes;
- Use After Free (CVE-2023-30772)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-31084)/közepes;
- Use of Insufficiently Random Values (CVE-2023-31124)/alacsony;
- Buffer Underflow (CVE-2023-31130)/közepes;
- Use of Insufficiently Random Values (CVE-2023-31147)/közepes;
- Improper Input Validation (CVE-2023-31436)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-31489)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32067)/súlyos;
- Improper Input Validation (CVE-2023-32233)/súlyos;
- Divide By Zero (CVE-2023-32573)/közepes;
- Race Condition (CVE-2023-33203)/közepes;
- Improper Input Validation (CVE-2023-34256)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-34872)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-34969)/közepes;
- Out-of-bounds Write (CVE-2023-35001)/súlyos;
- Out-of-bounds Write (CVE-2023-35788)/súlyos;
- Insufficiently Protected Credentials (CVE-2023-35789)/közepes;
- Race Condition (CVE-2023-35823)/súlyos;
- Race Condition (CVE-2023-35824)/súlyos;
- Race Condition (CVE-2023-35828)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-36054)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-36617)/közepes;
- OS Command Injection (CVE-2023-36664)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2023-37920)/súlyos;
- Classic Buffer Overflow (CVE-2023-38559)/közepes;
- Use After Free (CVE-2023-40283)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- OpenPCS 7 V9.1 minden verziója;
- SIMATIC BATCH V9.1 minden verziója;
- SIMATIC PCS 7 V9.1 minden verziója;
- SIMATIC Route Control V9.1 minden verziója;
- SIMATIC WinCC Runtime Professional V18 minden verziója;
- SIMATIC WinCC Runtime Professional V19 minden verziója;
- SIMATIC WinCC V7.4 minden verziója;
- SIMATIC WinCC V7.5 minden, V7.5 SP2 Update 15-nél korábbi verziója;
- SIMATIC WinCC V8.0 minden, V8.0 SP4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-48363)/közepes;
- NULL Pointer Dereference (CVE-2023-48364)/közepes;vítás:
Javítás: Részbenlérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden, Nozomi Guardian/CMC-vel használt, 23.3.0-nál korábbi verzió;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-5253)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Large (9DE5110-8CA13-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Medium (9DE5110-8CA12-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Small (9DE5110-8CA11-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Large (9DE5110-8CA13-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Medium (9DE5110-8CA12-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Non-Prod (9DE5110-8CA10-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence Perpetual Small (9DE5110-8CA11-1AX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Large (9DE5110-8CA13-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Medium (9DE5110-8CA12-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Non-Prod (9DE5110-8CA10-1BX0) minden V4.3-nál korábbi verziója;
- Location Intelligence SUS Small (9DE5110-8CA11-1BX0) minden V4.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-23816)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIDIS Prime minden, V4.0.400-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Insufficiently Random Values (CVE-2019-19135)/súlyos;
- NULL Pointer Dereference (CVE-2020-1967)/súlyos;
- NULL Pointer Dereference (CVE-2020-1971)/közepes;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Infinite Loop (CVE-2022-29862)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2201 minden, V2201.0012-nél korábbi verziója;
- Tecnomatix Plant Simulation V2201 minden verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0006-nál korábbi verziója;
- Tecnomatix Plant Simulation V2302 minden, V2302.0007-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-23795)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-23796)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-23797)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-23798)/súlyos;
- NULL Pointer Dereference (CVE-2024-23799)/alacsony;
- NULL Pointer Dereference (CVE-2024-23800)/alacsony;
- NULL Pointer Dereference (CVE-2024-23801)/alacsony;
- Out-of-bounds Read (CVE-2024-23802)/súlyos;
- Out-of-bounds Write (CVE-2024-23803)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-23804)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, V2401.0000-nál korábbi verziója;
- Simcenter Femap minden, V2306.0001-nél korábbi verziója;
- Simcenter Femap minden, V2306.0000-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-24920)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-24921)/súlyos;
- Out-of-bounds Write (CVE-2024-24922)/súlyos;
- Out-of-bounds Read (CVE-2024-24923)/súlyos;
- Out-of-bounds Write (CVE-2024-24924)/súlyos;
- Access of Uninitialized Pointer (CVE-2024-24925)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V35.0 minden, V35.0.263-nál korábbi verziója;
- Parasolid V35.0 minden, V35.0.251-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.252-nél korábbi verziója;
- Parasolid V35.1 minden, V35.1.170-nél korábbi verziója;
- Parasolid V36.0 minden, V36.0.198-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-49125)/súlyos;
- NULL Pointer Dereference (CVE-2024-22043)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 343-1 (6GK7343-1EX30-0XE0) minden verziója;
- SIMATIC CP 343-1 Lean (6GK7343-1CX10-0XE0) minden verziója;
- SIPLUS NET CP 343-1 (6AG1343-1EX30-7XE0) minden verziója;
- SIPLUS NET CP 343-1 Lean (6AG1343-1CX10-2XE0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Verification of Source of a Communication Channel (CVE-2023-51440)/súlyos;
Javítás:
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.02.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPU (BMXP34*) sv3.60-nál korábbi verziói;
- Modicon M580 CPU (BMEP* és BMEH*, az M580 safety CPU-k nem érintettek) sv4.20-nál korábbi verziói;
- Modicon M580 CPU Safety (BMEP58*S és BMEH58*S) minden verziója;
- EcoStruxure™ Control Expert v16.0-nál korábbi verziói;
- EcoStruxure™ Process Expert v2023-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Enforcement of Message Integrity During Transmission in a
Communication Channel (CVE-2023-6408)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-6409)/súlyos;
- Insufficiently Protected Credentials (CVE-2023-27975)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.02.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony Control Relay (RMNF22TB30) minden verziója;
- Harmony Timer Relay (RENF22R2MMW) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2024-0568)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.02.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure IT Gateway 1.20.x és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of hard-coded credentials (CVE-2024-0865)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.02.15.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Service Platform v2.74-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Execution-Assigned Permissions (CVE-2024-21915)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-046-16

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr5718329623

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása