Bejelentés dátuma: 2024.06.03.
Gyártó: ABB
Érintett rendszer(ek):
- WebPro SNMP card PowerValue 1.1.8.j és korábbi verziói;
- WebPro SNMP card PowerValue UL 1.1.8.j és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Scripting (ABBVREP0138)/kritikus;
Javítás: Elérhető
Link a publikációhoz: ABB
Bejelentés dátuma: 2024.06.04.
Gyártó: CODESYS
Érintett rendszer(ek):
- CODESYS Control Win (SL) 3.5.20.10-nél korábbi verziói;
- CODESYS Development System V3 3.5.20.10-nél korábbi verziói;
- CODESYS Edge Gateway for Windows 3.5.20.10-nél korábbi verziói;
- CODESYS Gateway for Windows 3.5.20.10-nél korábbi verziói;
- CODESYS HMI (SL) 3.5.20.10-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2023-5751)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2024-027/
Bejelentés dátuma: 2024.06.04.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- CC-Link IE TSN Industrial Managed Switch NZ2MHG-TSNT8F2 05-ös és korábbi verziói;
- CC-Link IE TSN Industrial Managed Switch NZ2MHG-TSNT4 05-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Denial-of-Service (CVE-2023-2650)/n/a;
Javítás: Elérhető
Link a publikációhoz: Mitsubishi Electric
Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 minden verziója;
- Network module, Modicon M340, Modbus/TCP BMXNOE0100 minden verziója;
- Network module, Modicon M340, Ethernet TCP/IP BMXNOE0110 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2024-5056)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- PowerLogic P5 v01.500.104-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2024-5559)/közepes;
Javítás: Jelenleg nem elérhető (a gyártó visszavonta a hibát javító patch-et).
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EVlink Home Smart v2.0.4.1.2_131-es és v2.0.3.8.2_128-as verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of the Resource Wrong Sphere (CVE-2024-5313)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SpaceLogic AS-P V5.0.3-as és korábbi verziói;
- SpaceLogic AS-B V5.0.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2024-5558)/közepes;
- Insertion of Sensitive Information into Log File (CVE-2024-5557)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2024.06.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Sage 1410 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 1430 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 1450 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 2400 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 3030 Magnum C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 4400 C3414-500-S02K5_P8-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-37036)/kritikus;
- Path Traversal (CVE-2024-37037)/súlyos;
- Incorrect Default Permissions (CVE-2024-37038)/súlyos;
- Unchecked Return Value (CVE-2024-37039)/közepes;
- Classic Buffer Overflow (CVE-2024-37040)/közepes;
- Out-of-bounds Read (CVE-2024-5560)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens ST7 ScadaConnect (6NH7997-5DA10-0AA0) 1.1-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Improper Input Validation (CVE-2023-21808)/súlyos;
- Improper Input Validation (CVE-2023-24895)/súlyos;
- Improper Input Validation (CVE-2023-24897)/súlyos;
- Improper Input Validation (CVE-2023-24936)/súlyos;
- Improper Input Validation (CVE-2023-28260)/súlyos;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Improper Input Validation (CVE-2023-29331)/súlyos;
- Double Free (CVE-2023-29469)/közepes;
- Improper Input Validation (CVE-2023-32032)/közepes;
- Improper Input Validation (CVE-2023-33126)/súlyos;
- Improper Input Validation (CVE-2023-33127)/súlyos;
- Improper Input Validation (CVE-2023-33128)/súlyos;
- Improper Input Validation (CVE-2023-33135)/súlyos;
- Improper Input Validation (CVE-2023-33170)/súlyos;
- Improper Input Validation (CVE-2023-35390)/súlyos;
- Improper Input Validation (CVE-2023-35391)/közepes;
- Improper Input Validation (CVE-2023-36038)/súlyos;
- Improper Input Validation (CVE-2023-36049)/súlyos;
- Improper Input Validation (CVE-2023-36435)/súlyos;
- Improper Input Validation (CVE-2023-36558)/közepes;
- Improper Input Validation (CVE-2023-36792)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36793)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36794)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-36796)/súlyos;
- Improper Input Validation (CVE-2023-36799)/közepes;
- Improper Input Validation (CVE-2023-38171)/súlyos;
- Improper Input Validation (CVE-2023-38178)/súlyos;
- Improper Input Validation (CVE-2023-38180)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens PowerSys V3.11-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-36266)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIMATIC CP 1542SP-1 IRC (6GK7542-6VX00-0XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (6AG2542-6VX00-4XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) minden, V2.3-nál korábbi verziója;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) minden, V2.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3435)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3545)/súlyos;
- Race Condition (CVE-2022-3623)/közepes;
- Injection (CVE-2022-3643)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Improper Locking (CVE-2022-42328)/közepes;
- Improper Locking (CVE-2022-42329)/közepes;
- NULL Pointer Dereference (CVE-2022-44792)/közepes;
- NULL Pointer Dereference (CVE-2022-44793)/közepes;
- Use-After-Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Double Free (CVE-2023-29469)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2023-38380)/súlyos;
- Out-of-bounds Read (CVE-2023-41910)/kritikus;
- Infinite Loop (CVE-2023-50763)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) V1.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-41742)/súlyos;
- Insufficient Session Expiration (CVE-2024-35206)/súlyos;
- Cross-Site Request Forgery (CVE-2024-35207)/súlyos;
- Insufficiently Protected Credentials (CVE-2024-35208)/közepes;
- Exposed Dangerous Method or Function (CVE-2024-35209)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2024-35210)/közepes;
- Sensitive Cookie in HTTPS Session Without 'Secure' Attribute (CVE-2024-35211)/közepes;
- Improper Input Validation (CVE-2024-35212)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SITOP UPS1600 10 A Ethernet/ PROFINET (6EP4134-3AB00-2AY0) minden, V2.5.4-nél korábbi verziója;
- SITOP UPS1600 20 A Ethernet/ PROFINET (6EP4136-3AB00-2AY0) minden, V2.5.4-nél korábbi verziója;
- SITOP UPS1600 40 A Ethernet/ PROFINET (6EP4137-3AB00-2AY0) minden, V2.5.4-nél korábbi verziója;
- SITOP UPS1600 EX 20 A Ethernet PROFINET (6EP4136-3AC00-2AY0) minden, V2.5.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-26552)/közepes;
- Out-of-bounds Write (CVE-2023-26553)/közepes;
- Out-of-bounds Write (CVE-2023-26554)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens JT2Go minden, V2312.0004-nél korábbi verziója;
- Siemens Teamcenter Visualization V14.2 minden verziója;
- Siemens Teamcenter Visualization V14.3 minden, V14.3.0.9-nél korábbi verziója;
- Siemens Teamcenter Visualization V2312 minden, V2312.0004-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-26275)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2024-26276)/alacsony;
- NULL Pointer Dereference (CVE-2024-26277)/alacsony;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SCALANCE XM408-4C (6GK5408-4GP00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM408-4C (L3 int.) (6GK5408-4GQ00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM408-8C (6GK5408-8GS00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM408-8C (L3 int.) (6GK5408-8GR00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM416-4C (6GK5416-4GS00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XM416-4C (L3 int.) (6GK5416-4GR00-2AM2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 1x230V (6GK5524-8GS00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 1x230V (L3 int.) (6GK5524-8GR00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 2x230V (6GK5524-8GS00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 2x230V (L3 int.) (6GK5524-8GR00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 24V (6GK5524-8GS00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR524-8C, 24V (L3 int.) (6GK5524-8GR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 1x230V (6GK5526-8GS00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 1x230V (L3 int.) (6GK5526-8GR00-3AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 2x230V (6GK5526-8GS00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 2x230V (L3 int.) (6GK5526-8GR00-4AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 24V (6GK5526-8GS00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8C, 24V (L3 int.) (6GK5526-8GR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (2HR2) (6GK5528-0AA00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (2HR2, L3 int.) (6GK5528-0AR00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (6GK5528-0AA00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR528-6M (L3 int.) (6GK5528-0AR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (2HR2) (6GK5552-0AA00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (2HR2) (6GK5552-0AR00-2HR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (2HR2, L3 int.) (6GK5552-0AR00-2AR2) minden, V6.6.1-nél korábbi verziója;
- Siemens SCALANCE XR552-12M (6GK5552-0AA00-2AR2) minden, V6.6.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Use-After-Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC S7-200 SMART CPU CR40 (6ES7288-1CR40-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU CR60 (6ES7288-1CR60-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR20 (6ES7288-1SR20-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR30 (6ES7288-1SR30-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR40 (6ES7288-1SR40-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU SR60 (6ES7288-1SR60-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST20 (6ES7288-1ST20-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST30 (6ES7288-1ST30-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST40 (6ES7288-1ST40-0AA1) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA0) minden verziója;
- Siemens SIMATIC S7-200 SMART CPU ST60 (6ES7288-1ST60-0AA1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Insufficiently Random Values (CVE-2024-35292)/súlyos;
Javítás: Nincs.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Mendix 9-et használó Mendix alkalmazások V9.24.22-nél korábbi és V9.3.0-nál újabb verziói;
- Siemens Mendix 10-et használó Mendix alkalmazások V10.11.0-nál korábbi verziói;
- Siemens Mendix Mendix 10 (V10.6)-ot használó Mendix alkalmazások V10.6.9-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-33500)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- TIA Administrator minden, V3 SP2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Creation of Temporary File in Directory with Insecure Permissions (CVE-2023-38533)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- CPCX26 Central Processing/Communication minden, V06.02-nél korábbi verziója;
- ETA4 Ethernet Interface IEC60870-5-104 minden, V10.46-nál korábbi verziója;
- ETA5 Ethernet Int. 1x100TX IEC61850 Ed.2 minden, V03.27-nél korábbi verziója;
- PCCX26 Ax 1703 PE, Contr, Communication Element minden, V06.05-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Null Termination (CVE-2024-31484)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden verziója;
- SCALANCE WAM763-1 (ME) (6GK5763-1AL00-7DC0) minden verziója;
- SCALANCE WAM763-1 (US) (6GK5763-1AL00-7DB0) minden verziója;
- SCALANCE WAM766-1 (EU) (6GK5766-1GE00-7DA0) minden verziója;
- SCALANCE WAM766-1 (ME) (6GK5766-1GE00-7DC0) minden verziója;
- SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) minden verziója;
- SCALANCE WAM766-1 EEC (EU) (6GK5766-1GE00-7TA0) minden verziója;
- SCALANCE WAM766-1 EEC (ME) (6GK5766-1GE00-7TC0) minden verziója;
- SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden verziója;
- SCALANCE WUM763-1 (US) (6GK5763-1AL00-3AB0) minden verziója;
- SCALANCE WUM763-1 (US) (6GK5763-1AL00-3DB0) minden verziója;
- SCALANCE WUM766-1 (EU) (6GK5766-1GE00-3DA0) minden verziója;
- SCALANCE WUM766-1 (ME) (6GK5766-1GE00-3DC0) minden verziója;
- SCALANCE WUM766-1 (US) (6GK5766-1GE00-3DB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Control of a Resource Through its Lifetime (CVE-2022-46144)/közepes;
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2023-44318)/közepes;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Injection (CVE-2023-44373)/kritikus;
- Unsynchronized Access to Shared Data in a Multithreaded Context (CVE-2023-44374)/közepes;
- OS Command Injection (CVE-2023-49691)/súlyos;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2302 minden, V2302.0012-nél korábbi verziója;
- Tecnomatix Plant Simulation V2404 minden, V2404.0001-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Type Conversion or Cast (CVE-2024-35303)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2024.06.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPLUS TIM 1531 IRC (6AG1543-1MX00-7XE0) minden, V2.4.8-nál korábbi verziója;
- TIM 1531 IRC (6GK7543-1MX00-0XE0) minden, V2.4.8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2021-47178)/közepes;
- Out-of-bounds Write (CVE-2022-1015)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-39189)/súlyos;
- Incorrect Conversion between Numeric Types (CVE-2022-40225)/közepes;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Improper Input Validation (CVE-2022-45886)/súlyos;
- Race Condition (CVE-2022-45887)/közepes;
- Use After Free (CVE-2022-45919)/súlyos;
- Improper Locking (CVE-2023-0160)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Out-of-bounds Write (CVE-2023-1017)/közepes;
- Out-of-bounds Write (CVE-2023-2124)/súlyos;
- Improper Locking (CVE-2023-2269)/közepes;
- Out-of-bounds Write (CVE-2023-21255)/súlyos;
- NULL Pointer Dereference (CVE-2023-27321)/közepes;
- Use After Free (CVE-2023-28319)/súlyos;
- Out-of-bounds Write (CVE-2023-35788)/súlyos;
- Race Condition (CVE-2023-35823)/súlyos;
- Race Condition (CVE-2023-35824)/súlyos;
- Race Condition (CVE-2023-35828)/súlyos;
- Use After Free (CVE-2023-35829)/súlyos;
- Out-of-bounds Read (CVE-2023-41910)/kritikus;
- Infinite Loop (CVE-2023-50763)/közepes;
- Improper Input Validation (CVE-2023-52474)/súlyos;
- Improper Input Validation (CVE-2024-0775)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2024.06.13.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Tellus Lite V-Simulator v4.0.20.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-Bound Write (CVE-2024-37022)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-37029)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-14
Bejelentés dátuma: 2024.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE v12.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2024-37369)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-17
Bejelentés dátuma: 2024.06.19.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa SDS-3008 sorozatú eszközök 2.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2015-9251)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Prototype Pollution (CVE-2019-11358)/közepes;
Javítás: A gyártó műszaki támogatásánál elérhető.
Link a publikációhoz: Moxa
Bejelentés dátuma: 2024.06.20.
Gyártó: CAREL
Érintett rendszer(ek):
- Boss-Mini 1.4.0 (Build 6221) verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2023-3643)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-172-02
Bejelentés dátuma: 2024.06.20.
Gyártó: Yokogawa
Érintett rendszer(ek):
- CENTUM CS 3000 (beleértve a CENTUM CS 3000 Entry Class rendszereket) R3.08.10-től R3.09.50-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket) R4.01.00-tól R4.03.00-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket) R5.01.00-tól R5.04.20-ig terjedő verziói;
- CENTUM VP (beleértve a CENTUM VP Entry Class rendszereket) R6.01.00-tól R6.11.10-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2024-5650)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-172-01
Bejelentés dátuma: 2024.06.20.
Gyártó: Westermo
Érintett rendszer(ek):
- L210-F2G Lynx ipari Ethernet switch-ek 4.21.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2024-37183)/közepes;
- Improper Control of Interaction Frequency (CVE-2024-35246)/súlyos;
- Improper Control of Interaction Frequency (CVE-2024-32943)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-172-03
Bejelentés dátuma: 2024.06.20.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-2100 sorozatú eszközök v1.13-as és korábbi firmware-verziói;
- UC-3100 sorozatú eszközök v1.7-es és korábbi firmware-verziói;
- UC-5100 sorozatú eszközök v1.5-ös és korábbi firmware-verziói;
- UC-8100 sorozatú eszközök v3.6-os és korábbi firmware-verziói;
- UC-8100-ME-T sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- UC-8100A-ME-T sorozatú eszközök v1.7-es és korábbi firmware-verziói;
- UC-8200 sorozatú eszközök v1.6-os és korábbi firmware-verziói;
- UC-8410A sorozatú eszközök v4.2.2-es és korábbi firmware-verziói;
- UC-8540 sorozatú eszközök v2.2-es és korábbi firmware-verziói;
- UC-8580 sorozatú eszközök v2.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Integrity Check Value (CVE-2023-48795)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa
Bejelentés dátuma: 2024.06.21.
Gyártó: Moxa
Érintett rendszer(ek):
- OnCell G3470A-LTE sorozatú eszközök v1.7.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper neutralization of special elements used in a command (CVE-2024-4638)/súlyos;
- Improper neutralization of special elements used in a command (CVE-2024-4639)/súlyos;
- Classic Buffer Overflow (CVE-2024-4640)/súlyos;
- Use of externally-controlled format string (CVE-2024-4641)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa
A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.