Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CDXXII

Sérülékenységek ABB, CODESYS, Mitsubishi Electric, Schneider Electric, Siemens, Fuji Electric, Rockwell Automation, Moxa, CAREL, Yokogawa és Westermo rendszerekben

2024. június 26. - icscybersec

Bejelentés dátuma: 2024.06.03.
Gyártó: ABB
Érintett rendszer(ek):
- WebPro SNMP card PowerValue 1.1.8.j és korábbi verziói;
- WebPro SNMP card PowerValue UL 1.1.8.j és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Scripting (ABBVREP0138)/kritikus;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2024.06.04.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Control Win (SL) 3.5.20.10-nél korábbi verziói;
- CODESYS Development System V3 3.5.20.10-nél korábbi verziói;
- CODESYS Edge Gateway for Windows 3.5.20.10-nél korábbi verziói;
- CODESYS Gateway for Windows 3.5.20.10-nél korábbi verziói;
- CODESYS HMI (SL) 3.5.20.10-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2023-5751)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2024-027/

Bejelentés dátuma: 2024.06.04.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- CC-Link IE TSN Industrial Managed Switch NZ2MHG-TSNT8F2 05-ös és korábbi verziói;
- CC-Link IE TSN Industrial Managed Switch NZ2MHG-TSNT4 05-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Denial-of-Service (CVE-2023-2650)/n/a;
Javítás: Elérhető
Link a publikációhoz: Mitsubishi Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 minden verziója;
- Network module, Modicon M340, Modbus/TCP BMXNOE0100 minden verziója;
- Network module, Modicon M340, Ethernet TCP/IP BMXNOE0110 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2024-5056)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic P5 v01.500.104-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2024-5559)/közepes;
Javítás: Jelenleg nem elérhető (a gyártó visszavonta a hibát javító patch-et).
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EVlink Home Smart v2.0.4.1.2_131-es és v2.0.3.8.2_128-as verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of the Resource Wrong Sphere (CVE-2024-5313)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SpaceLogic AS-P V5.0.3-as és korábbi verziói;
- SpaceLogic AS-B V5.0.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2024-5558)/közepes;
- Insertion of Sensitive Information into Log File (CVE-2024-5557)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Sage 1410 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 1430 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 1450 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 2400 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 3030 Magnum C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 4400 C3414-500-S02K5_P8-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-37036)/kritikus;
- Path Traversal (CVE-2024-37037)/súlyos;
- Incorrect Default Permissions (CVE-2024-37038)/súlyos;
- Unchecked Return Value (CVE-2024-37039)/közepes;
- Classic Buffer Overflow (CVE-2024-37040)/közepes;
- Out-of-bounds Read (CVE-2024-5560)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens ST7 ScadaConnect (6NH7997-5DA10-0AA0) 1.1-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Improper Input Validation (CVE-2023-21808)/súlyos;
- Improper Input Validation (CVE-2023-24895)/súlyos;
- Improper Input Validation (CVE-2023-24897)/súlyos;
- Improper Input Validation (CVE-2023-24936)/súlyos;
- Improper Input Validation (CVE-2023-28260)/súlyos;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Improper Input Validation (CVE-2023-29331)/súlyos;
- Double Free (CVE-2023-29469)/közepes;
- Improper Input Validation (CVE-2023-32032)/közepes;
- Improper Input Validation (CVE-2023-33126)/súlyos;
- Improper Input Validation (CVE-2023-33127)/súlyos;
- Improper Input Validation (CVE-2023-33128)/súlyos;
- Improper Input Validation (CVE-2023-33135)/súlyos;
- Improper Input Validation (CVE-2023-33170)/súlyos;
- Improper Input Validation (CVE-2023-35390)/súlyos;
- Improper Input Validation (CVE-2023-35391)/közepes;
- Improper Input Validation (CVE-2023-36038)/súlyos;
- Improper Input Validation (CVE-2023-36049)/súlyos;
- Improper Input Validation (CVE-2023-36435)/súlyos;
- Improper Input Validation (CVE-2023-36558)/közepes;
- Improper Input Validation (CVE-2023-36792)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36793)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36794)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36796)/súlyos;
- Improper Input Validation (CVE-2023-36799)/közepes;
- Improper Input Validation (CVE-2023-38171)/súlyos;
- Improper Input Validation (CVE-2023-38178)/súlyos;
- Improper Input Validation (CVE-2023-38180)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens PowerSys V3.11-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-36266)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIMATIC CP 1542SP-1 IRC (6GK7542-6VX00-0XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (6AG2542-6VX00-4XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) minden, V2.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3435)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3545)/súlyos;
- Race Condition (CVE-2022-3623)/közepes;
- Injection (CVE-2022-3643)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Improper Locking (CVE-2022-42328)/közepes;
- Improper Locking (CVE-2022-42329)/közepes;
- NULL Pointer Dereference (CVE-2022-44792)/közepes;
- NULL Pointer Dereference (CVE-2022-44793)/közepes;
- Use-After-Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Double Free (CVE-2023-29469)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2023-38380)/súlyos;
- Out-of-bounds Read (CVE-2023-41910)/kritikus;
- Infinite Loop (CVE-2023-50763)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) V1.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-41742)/súlyos;
- Insufficient Session Expiration (CVE-2024-35206)/súlyos;
- Cross-Site Request Forgery (CVE-2024-35207)/súlyos;
- Insufficiently Protected Credentials (CVE-2024-35208)/közepes;
- Exposed Dangerous Method or Function (CVE-2024-35209)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2024-35210)/közepes;
- Sensitive Cookie in HTTPS Session Without 'Secure' Attribute (CVE-2024-35211)/közepes;
- Improper Input Validation (CVE-2024-35212)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SITOP UPS1600 10 A Ethernet/ PROFINET (6EP4134-3AB00-2AY0) minden, V2.5.4-nél korábbi verziója;
- SITOP UPS1600 20 A Ethernet/ PROFINET (6EP4136-3AB00-2AY0) minden, V2.5.4-nél korábbi verziója;
- SITOP UPS1600 40 A Ethernet/ PROFINET (6EP4137-3AB00-2AY0) minden, V2.5.4-nél korábbi verziója;
- SITOP UPS1600 EX 20 A Ethernet PROFINET (6EP4136-3AC00-2AY0) minden, V2.5.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-26552)/közepes;
- Out-of-bounds Write (CVE-2023-26553)/közepes;
- Out-of-bounds Write (CVE-2023-26554)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens JT2Go minden, V2312.0004-nél korábbi verziója;
- Siemens Teamcenter Visualization V14.2 minden verziója;
- Siemens Teamcenter Visualization V14.3 minden, V14.3.0.9-nél korábbi verziója;
- Siemens Teamcenter Visualization V2312 minden, V2312.0004-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-26275)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2024-26276)/alacsony;
- NULL Pointer Dereference (CVE-2024-26277)/alacsony;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SCALANCE XM408-4C (6GK5408-4GP00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM408-4C (L3 int.) (6GK5408-4GQ00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM408-8C (6GK5408-8GS00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM408-8C (L3 int.) (6GK5408-8GR00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM416-4C (6GK5416-4GS00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM416-4C (L3 int.) (6GK5416-4GR00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 1x230V (6GK5524-8GS00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 1x230V (L3 int.) (6GK5524-8GR00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 2x230V (6GK5524-8GS00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 2x230V (L3 int.) (6GK5524-8GR00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 24V (6GK5524-8GS00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 24V (L3 int.) (6GK5524-8GR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 1x230V (6GK5526-8GS00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 1x230V (L3 int.) (6GK5526-8GR00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 2x230V (6GK5526-8GS00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 2x230V (L3 int.) (6GK5526-8GR00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 24V (6GK5526-8GS00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 24V (L3 int.) (6GK5526-8GR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (2HR2) (6GK5528-0AA00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (2HR2, L3 int.) (6GK5528-0AR00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (6GK5528-0AA00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (L3 int.) (6GK5528-0AR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (2HR2) (6GK5552-0AA00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (2HR2) (6GK5552-0AR00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (2HR2, L3 int.) (6GK5552-0AR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (6GK5552-0AA00-2AR2) minden, V6.6.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Use-After-Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC S7-200 SMART CPU CR40 (6ES7288-1CR40-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU CR60 (6ES7288-1CR60-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Insufficiently Random Values (CVE-2024-35292)/súlyos;
Javítás: Nincs.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Mendix 9-et használó Mendix alkalmazások V9.24.22-nél korábbi és V9.3.0-nál újabb verziói;
- Siemens Mendix 10-et használó Mendix alkalmazások V10.11.0-nál korábbi verziói;
- Siemens Mendix Mendix 10 (V10.6)-ot használó Mendix alkalmazások V10.6.9-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-33500)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- TIA Administrator minden, V3 SP2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Creation of Temporary File in Directory with Insecure Permissions (CVE-2023-38533)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- CPCX26 Central Processing/Communication minden, V06.02-nél korábbi verziója;
- ETA4 Ethernet Interface IEC60870-5-104 minden, V10.46-nál korábbi verziója;
- ETA5 Ethernet Int. 1x100TX IEC61850 Ed.2 minden, V03.27-nél korábbi verziója;
- PCCX26 Ax 1703 PE, Contr, Communication Element minden, V06.05-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Null Termination (CVE-2024-31484)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden verziója;
- SCALANCE WAM763-1 (ME) (6GK5763-1AL00-7DC0) minden verziója;
- SCALANCE WAM763-1 (US) (6GK5763-1AL00-7DB0) minden verziója;
- SCALANCE WAM766-1 (EU) (6GK5766-1GE00-7DA0) minden verziója;
- SCALANCE WAM766-1 (ME) (6GK5766-1GE00-7DC0) minden verziója;
- SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) minden verziója;
- SCALANCE WAM766-1 EEC (EU) (6GK5766-1GE00-7TA0) minden verziója;
- SCALANCE WAM766-1 EEC (ME) (6GK5766-1GE00-7TC0) minden verziója;
- SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden verziója;
- SCALANCE WUM763-1 (US) (6GK5763-1AL00-3AB0) minden verziója;
- SCALANCE WUM763-1 (US) (6GK5763-1AL00-3DB0) minden verziója;
- SCALANCE WUM766-1 (EU) (6GK5766-1GE00-3DA0) minden verziója;
- SCALANCE WUM766-1 (ME) (6GK5766-1GE00-3DC0) minden verziója;
- SCALANCE WUM766-1 (US) (6GK5766-1GE00-3DB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Control of a Resource Through its Lifetime (CVE-2022-46144)/közepes;
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2023-44318)/közepes;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Injection (CVE-2023-44373)/kritikus;
- Unsynchronized Access to Shared Data in a Multithreaded Context (CVE-2023-44374)/közepes;
- OS Command Injection (CVE-2023-49691)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2302 minden, V2302.0012-nél korábbi verziója;
- Tecnomatix Plant Simulation V2404 minden, V2404.0001-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Type Conversion or Cast (CVE-2024-35303)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPLUS TIM 1531 IRC (6AG1543-1MX00-7XE0) minden, V2.4.8-nál korábbi verziója;
- TIM 1531 IRC (6GK7543-1MX00-0XE0) minden, V2.4.8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2021-47178)/közepes;
- Out-of-bounds Write (CVE-2022-1015)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-39189)/súlyos;
- Incorrect Conversion between Numeric Types (CVE-2022-40225)/közepes;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Improper Input Validation (CVE-2022-45886)/súlyos;
- Race Condition (CVE-2022-45887)/közepes;
- Use After Free (CVE-2022-45919)/súlyos;
- Improper Locking (CVE-2023-0160)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Out-of-bounds Write (CVE-2023-1017)/közepes;
- Out-of-bounds Write (CVE-2023-2124)/súlyos;
- Improper Locking (CVE-2023-2269)/közepes;
- Out-of-bounds Write (CVE-2023-21255)/súlyos;
- NULL Pointer Dereference (CVE-2023-27321)/közepes;
- Use After Free (CVE-2023-28319)/súlyos;
- Out-of-bounds Write (CVE-2023-35788)/súlyos;
- Race Condition (CVE-2023-35823)/súlyos;
- Race Condition (CVE-2023-35824)/súlyos;
- Race Condition (CVE-2023-35828)/súlyos;
- Use After Free (CVE-2023-35829)/súlyos;
- Out-of-bounds Read (CVE-2023-41910)/kritikus;
- Infinite Loop (CVE-2023-50763)/közepes;
- Improper Input Validation (CVE-2023-52474)/súlyos;
- Improper Input Validation (CVE-2024-0775)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.06.13.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Tellus Lite V-Simulator v4.0.20.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-Bound Write (CVE-2024-37022)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-37029)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-14

Bejelentés dátuma: 2024.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE v12.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2024-37369)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-17

Bejelentés dátuma: 2024.06.19.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa SDS-3008 sorozatú eszközök 2.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2015-9251)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Prototype Pollution (CVE-2019-11358)/közepes;
Javítás: A gyártó műszaki támogatásánál elérhető.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.06.20.
Gyártó: CAREL
Érintett rendszer(ek):
- Boss-Mini 1.4.0 (Build 6221) verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2023-3643)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-172-02

Bejelentés dátuma: 2024.06.20.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM CS 3000 (beleértve a CENTUM CS 3000 Entry Class rendszereket) R3.08.10-től R3.09.50-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket) R4.01.00-tól R4.03.00-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket) R5.01.00-tól R5.04.20-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket) R6.01.00-tól R6.11.10-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-5650)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-172-01

Bejelentés dátuma: 2024.06.20.
Gyártó: Westermo
Érintett rendszer(ek):
- L210-F2G Lynx ipari Ethernet switch-ek 4.21.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2024-37183)/közepes;
- Improper Control of Interaction Frequency (CVE-2024-35246)/súlyos;
- Improper Control of Interaction Frequency (CVE-2024-32943)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-172-03

Bejelentés dátuma: 2024.06.20.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-2100 sorozatú eszközök v1.13-as és korábbi firmware-verziói;
- UC-3100 sorozatú eszközök v1.7-es és korábbi firmware-verziói;
- UC-5100 sorozatú eszközök v1.5-ös és korábbi firmware-verziói;
- UC-8100 sorozatú eszközök v3.6-os és korábbi firmware-verziói;
- UC-8100-ME-T sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- UC-8100A-ME-T sorozatú eszközök v1.7-es és korábbi firmware-verziói;
- UC-8200 sorozatú eszközök v1.6-os és korábbi firmware-verziói;
- UC-8410A sorozatú eszközök v4.2.2-es és korábbi firmware-verziói;
- UC-8540 sorozatú eszközök v2.2-es és korábbi firmware-verziói;
- UC-8580 sorozatú eszközök v2.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Integrity Check Value (CVE-2023-48795)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.06.21.
Gyártó: Moxa
Érintett rendszer(ek):
- OnCell G3470A-LTE sorozatú eszközök v1.7.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper neutralization of special elements used in a command (CVE-2024-4638)/súlyos;
- Improper neutralization of special elements used in a command (CVE-2024-4639)/súlyos;
- Classic Buffer Overflow (CVE-2024-4640)/súlyos;
- Use of externally-controlled format string (CVE-2024-4641)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr4218433909

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása