Bejelentés dátuma: 2024.05.13.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann BAT-C2 08.08.01.01R08 or lower
- Hirschmann OWL 3G 6.2.9 or lower
- Hirschmann OWL LTE 6.2.9 or lower
- Hirschmann OWL LTE M12 6.2.9 or lower
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Pointer Segmentation Fault (CVE-2021-28831)/súlyos;
- Remote Code Execution (CVE-2022-28391)/súlyos;
- Denial-of-Service (CVE-2022-30065)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Belden-Hirschmann

Bejelentés dátuma: 2024.05.14.
Gyártó: PHOENIX CONTACT
Érintett rendszer(ek):
- CHARX SEC-3000 1.5.1-es és korábbi verziói;
- CHARX SEC-3050 1.5.1-es és korábbi verziói;
- CHARX SEC-3100 1.5.1-es és korábbi verziói;
- CHARX SEC-3150 1.5.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Untrusted Search Path (CVE-2024-28133)/súlyos;
- Improper Input Validation (CVE-2024-28136)/súlyos;
- Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2024-28137)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2024-28134)/súlyos;
- Improper Input Validation (CVE-2024-28135)/közepes;
Javítás: Elérhető
Link a publikációhoz:https://cert.vde.com/en/advisories/VDE-2024-019/

Bejelentés dátuma: 2024.05.14.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Software House C-CURE 9000 v3.00.2-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Log File (CVE-2024-0912)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-03

Bejelentés dátuma: 2024.05.14.
Gyártó: Subnet Solutions
Érintett rendszer(ek):
- PowerSYSTEM Center Update 19 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Insufficiently Trustworthy Component (CVE-2024-28042)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-02

Bejelentés dátuma: 2024.05.14.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek) az FA Engineering szoftver termékek alábbi verziói:
- CPU Module Logging Configuration Tool minden verziója;
- CSGL (GX Works2 connection configuration) minden verziója;
- CW Configurator minden verziója;
- Data Transfer minden verziója;
- Data Transfer Classic minden verziója;
- EZSocket (communication middleware product for Mitsubishi Electric partner companies) minden verziója;
- FR Configurator SW3 minden verziója;
- FR Configurator2 minden verziója;
- GENESIS64 minden verziója;
- GT Designer3 Version1 (GOT1000) minden verziója;
- GT Designer3 Version1 (GOT2000) minden verziója;
- GT SoftGOT1000 Version3 minden verziója;
- GT SoftGOT2000 Version1 minden verziója;
- GX Developer minden verziója;
- GX LogViewer minden verziója;
- GX Works2 minden verziója;
- GX Works3 minden verziója;
- iQ Works (MELSOFT Navigator) minden verziója;
- MI Configurator minden verziója;
- Mitsubishi Electric Numerical Control Device Communication Software (FCSB1224) minden verziója;
- MR Configurator (SETUP221) minden verziója;
- MR Configurator2 minden verziója;
- MRZJW3-MC2-UTL minden verziója;
- MX Component minden verziója;
- MX OPC Server DA/UA (Software packaged with MC Works64) minden verziója;
- PX Developer/Monitor Tool minden verziója;
- RT ToolBox3 minden verziója;
- RT VisualBox minden verziója;
- Setting/monitoring tools for the C Controller module (SW4PVC-CCPU) minden verziója;
- SW0DNC-MNETH-B minden verziója;
- SW1DNC-CCBD2-B minden verziója;
- SW1DNC-CCIEF-J minden verziója;
- SW1DNC-CCIEF-B minden verziója;
- SW1DNC-MNETG-B minden verziója;
- SW1DNC-QSCCF-B minden verziója;
- SW1DND-EMSDK-B minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2023-51776)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-51777)/közepes;
- Out-of-bounds Write (CVE-2023-51778)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-22102)/közepes;
- Out-of-bounds Write (CVE-2024-22103)/közepes;
- Out-of-bounds Write (CVE-2024-22104)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-22105)/közepes;
- Improper Privilege Management (CVE-2024-22106)/közepes;
- Improper Privilege Management (CVE-2024-25086)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-25087)/közepes;
- Improper Privilege Management (CVE-2024-25088)/közepes;
- Improper Privilege Management (CVE-2024-26314)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-04

Bejelentés dátuma: 2024.05.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Remote Access v13.5.0.174-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unquoted Search Path or Element (CVE-2024-3640)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-01

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CN 4100 minden, V3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-32740)/kritikus;
- Use of Hard-coded Password (CVE-2024-32741)/kritikus;
- Missing Immutable Root of Trust in Hardware (CVE-2024-32742)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge minden, V224.0 Update 5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2024-33489)/súlyos;
- Out-of-bounds Read (CVE-2024-33490)/súlyos;
- Out-of-bounds Read (CVE-2024-33491)/súlyos;
- Out-of-bounds Read (CVE-2024-33492)/súlyos;
- Out-of-bounds Read (CVE-2024-33493)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-34771)/súlyos;
- Out-of-bounds Read (CVE-2024-34772)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-34773)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion ALM minden, V2404.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-33647)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Parasolid V35.1 minden, V35.1.256-nál korábbi verziója;
- Siemens Parasolid V36.0 minden, V36.0.208-nál korábbi verziója;
- Siemens Parasolid V36.1 minden, V36.1.173-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-32635)/súlyos;
- Out-of-bounds Read (CVE-2024-32636)/súlyos;
- NULL Pointer Dereference (CVE-2024-32637)/alacsony;
Javítás:
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA00) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA10) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA20) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA30) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA10) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA20) V3.0.1.1-nél korábbi verziói;
- Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA30) V3.0.1.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Improper Input Validation (CVE-2023-5363)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-29409)/közepes;
- Excessive Iteration (CVE-2023-33953)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2023-38039)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38545)/súlyos;
- External Control of File Name or Path (CVE-2023-38546)/alacsony;
- Improper Input Validation (CVE-2023-46218)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-46219)/közepes;
- Download of Code Without Integrity Check (CVE-2024-30206)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2024-30207)/kritikus;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-30208)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2024-30209)/kritikus;
- Insufficient Verification of Data Authenticity (CVE-2024-33494)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2024-33495)/közepes;
- Insufficiently Protected Credentials (CVE-2024-33496)/közepes;
- Insufficiently Protected Credentials (CVE-2024-33497)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-33498)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-33499)/kritikus;
- Hidden Functionality (CVE-2024-33583)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.05.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE 14.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-4609)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-137-14

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.