Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Pavilion8 v5.20-as és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Encryption of Sensitive Data (CVE-2024-40620)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-04

Bejelentés dátuma: 2024.08.13.
Gyártó: AVEVA
Érintett rendszer(ek):
- SuiteLink 3.7.0 és korábbi verziói;
- Historian 2023 R2 P01 és korábbi verziói;
- InTouch: 2023 R2 P01 és korábbi verziói;
- Application Server 2023 R2 P01 és korábbi verziói;
- Communication Drivers Pack 2023 R2 és korábbi verziói;
- Batch Management 2023 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-7113)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-01

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ControlLogix 5580 v34.011-es és későbbi verziói;
- GuardLogix 5580 v34.011-es és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2024-40619)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-03

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- AADvance Standalone OPC-DA Server v2.01.510 és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2018-1285)/kritikus;
- Use of Externally Controlled Format String (CVE-2006-0743)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-02

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- CompactLogix 5380 (5069 - L3z) v36.011, v35.013, v34.014-nél korábbi verziói;
- CompactLogix 5480 (5069 - L4) v36.011, v35.013, v34.014-nél korábbi verziói;
- ControlLogix 5580 (1756 - L8z) v36.011, v35.013, v34.014-nél korábbi verziói;
- GuardLogix 5580 (1756 - L8z) v36.011, v35.013, v34.014-nél korábbi verziói;
- Compact GuardLogix 5380 (5069 - L3zS2) v36.011, v35.013, v34.014-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-7507)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-09

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE 13.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2024-7513)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-06

Bejelentés dátuma: 2024.08.13.
Gyártó: Ocean Data Systems
Érintett rendszer(ek):
- Dream Report 2023 23.0.17795.1010 és korábbi verziói;
- AVEVA Reports for Operations 2023 23.0.17795.1010 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-6618)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-6619)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-08

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- DataMosaix Private Cloud 7.07-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-6078)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-05

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- CompactLogix 5380 (5069 - L3z) v36.011, v35.013, v34.014-esnél korábbi verziói;
- CompactLogix 5480 (5069 - L4) v36.011, v35.013, v34.014-esnél korábbi verziói;
- ControlLogix 5580 (1756 - L8z) v36.011, v35.013, v34.014-esnél korábbi verziói;
- GuardLogix 5580 (1756 - L8z) v36.011, v35.013, v34.014-esnél korábbi verziói;
- Compact GuardLogix 5380 (5069 - L3zS2) v36.011, v35.013, v34.014-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-7515)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-10

Bejelentés dátuma: 2024.08.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PLC - Micro850/870 (2080 -L50E/2080 -L70E) v22.011-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2024-7567)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-07

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) V8.1-nél korábbi verziói;
- Siemens RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M804PB (6GK5804-0AP00-2AA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M812-1 ADSL-Router family V8.1-nél korábbi verziói;
- Siemens SCALANCE M816-1 ADSL-Router family V8.1-nél korábbi verziói;
- Siemens SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M874-2 (6GK5874-2AA00-2AA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M874-3 3G-Router (CN) (6GK5874-3AA00-2FA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M874-3 (6GK5874-3AA00-2AA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M876-3 (6GK5876-3AA02-2BA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M876-4 (6GK5876-4AA10-2BA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM853-1 (A1) (6GK5853-2EA10-2AA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM853-1 (B1) (6GK5853-2EA10-2BA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM856-1 (A1) (6GK5856-2EA10-3AA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM856-1 (B1) (6GK5856-2EA10-3BA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM856-1 (CN) (6GK5856-2EA00-3FA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) V8.1-nél korábbi verziói;
- Siemens SCALANCE S615 EEC LAN-Router (6GK5615-0AA01-2AA2) V8.1-nél korábbi verziói;
- Siemens SCALANCE S615 LAN-Router (6GK5615-0AA00-2AA2) V8.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
- Improper Input Validation (CVE-2024-41976)/súlyos;
- Exposure of Data Element to Wrong Session (CVE-2024-41977)/súlyos;
- Insertion of Sensitive Information into Log File (CVE-2024-41978)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) V2.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-41903)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-41904)/súlyos;
- Improper Access Control (CVE-2024-41905)/közepes;
- Use of Cache Containing Sensitive Information (CVE-2024-41906)/közepes;
- Improperly Implemented Security Check for Standard (CVE-2024-41907)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Location Intelligence V4.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2024-41681)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-41682)/közepes;
- Weak Password Requirements (CVE-2024-41683)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens INTRALOG WMS V4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2024-0056)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-30045)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens LOGO! 12/24RCE (6ED1052-1MD08-0BA1) minden verziója;
- Siemens LOGO! 12/24RCEo (6ED1052-2MD08-0BA1) minden verziója;
- Siemens LOGO! 24CE (6ED1052-1CC08-0BA1) minden verziója;
- Siemens LOGO! 24CEo (6ED1052-2CC08-0BA1) minden verziója;
- Siemens LOGO! 24RCE (6ED1052-1HB08-0BA1) minden verziója;
- Siemens LOGO! 24RCEo (6ED1052-2HB08-0BA1) minden verziója;
- Siemens LOGO! 230RCE (6ED1052-1FB08-0BA1) minden verziója;
- Siemens LOGO! 230RCEo (6ED1052-2FB08-0BA1) minden verziója;
- Siemens SIPLUS LOGO! 12/24RCE (6AG1052-1MD08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 12/24RCEo (6AG1052-2MD08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 24CEo (6AG1052-2CC08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 24RCE (6AG1052-1HB08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 24RCEo (6AG1052-2HB08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA1) minden verziója;
- Siemens SIPLUS LOGO! 230RCEo (6AG1052-2FB08-7BA1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Plaintext Storage of a Password (CVE-2024-39922)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens JT2Go V2312.0005-nél korábbi verziói;
- Siemens Teamcenter Visualization V14.2 V14.2.0.12-nél korábbi verziói;
- Siemens Teamcenter Visualization V14.3 V14.3.0.10-nél korábbi verziói;
- Siemens Teamcenter Visualization V2312 V2312.0005-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-32635)/súlyos;
- Out-of-bounds Read (CVE-2024-32636)/súlyos;
- NULL Pointer Dereference (CVE-2024-32637)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS V3.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use After Free (CVE-2023-4611)/közepes;
- Improper Input Validation (CVE-2023-5868)/közepes;
- Improper Input Validation (CVE-2023-5869)/súlyos;
- Improper Input Validation (CVE-2023-5870)/közepes;
- Improper Input Validation (CVE-2023-6378)/súlyos;
- Improper Input Validation (CVE-2023-6481)/súlyos;
- Improper Input Validation (CVE-2023-31122)//súlyos;
- Deserialization of Untrusted Data (CVE-2023-34050)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
- Improper Input Validation (CVE-2023-42794)/közepes;
- Improper Input Validation (CVE-2023-42795)/közepes;
- Improper Input Validation (CVE-2023-43622)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
- Improper Input Validation (CVE-2023-45648)/közepes;
- Improper Input Validation (CVE-2023-45802)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-46120)/közepes;
- Out-of-bounds Read (CVE-2023-46280)/közepes;
- Improper Input Validation (CVE-2023-46589)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-52425)/súlyos;
- XML Entity Expansion (CVE-2023-52426)/közepes;
- Privilege Dropping/Lowering Errors (CVE-2024-0985)/súlyos;
- Use After Free (CVE-2024-25062)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2024-28182)/közepes;
- XML Entity Expansion (CVE-2024-28757)/súlyos;
- Execution with Unnecessary Privileges (CVE-2024-36398)/súlyos;
- Path Traversal (CVE-2024-41938)/közepes;
- Incorrect Authorization (CVE-2024-41939)/súlyos;
- Improper Input Validation (CVE-2024-41940)/kritikus;
- Incorrect Authorization (CVE-2024-41941)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS minden, V10.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2023-5180)/súlyos;
- Use After Free (CVE-2023-26495)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Siemens
Érintett rendszer(ek):
- NX minden, V2406.3000-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-41908)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.08.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Accutech Manager 2.8.0.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2024-6918)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.08.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Machine SCADA Expert 2020 SP3 HF1-nél korábbi verziói;
- Pro-face BLUE Open Studio 2020 SP3 HF1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2023-6132)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.08.15.
Gyártó: AVEVA
Érintett rendszer(ek):
- Historian Server 2023 R2-es verziója;
- Historian Server 2023-tól 2023 P03-ig terjedő verziói;
- Historian Server 2020-tól 2020 R2 SP1 P01-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2024-6456)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-10

Bejelentés dátuma: 2024.08.15.
Gyártó: PTC
Érintett rendszer(ek):
- PTC Kepware ThingWorx Kepware Server V6-os verziója;
- PTC Kepware KEPServerEX V6-os verziója;
- Software Toolbox TOP Server V6-os verziója;
- GE IGS V7.6x verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-6098)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-228-11

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.