Bejelentés dátuma: 2025.01.14.
Gyártó: Belledonne Communications
Érintett rendszer(ek):
- Linphone-Desktop 5.2.6-os verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- NULL Pointer Dereference (CVE-2025-0430)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-04

Bejelentés dátuma: 2025.01.14.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Hitachi Energy FOXMAN-UN R15A-nál korábbi összes verziója;
- Hitachi Energy FOXMAN-UN R15B verziója;
- Hitachi Energy FOXMAN-UN R15B PC4 verziója;
- Hitachi Energy FOXMAN-UN R16A verziója;
- Hitachi Energy FOXMAN-UN R16B verziója;
- Hitachi Energy FOXMAN-UN R16B PC2 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2024-2013)/kritikus;
- Argument Injection (CVE-2024-2012)/kritikus;
- Heap-based Buffer Overflow (CVE-2024-2011)/súlyos;
- Incorrect User Management (CVE-2024-28020)/súlyos;
- Improper Certificate Validation (CVE-2024-28021)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-28022)/közepes;
- Use of Hard-coded Password (CVE-2024-28023)/közepes;
- Cleartext Storage of Sensitive Information (CVE-2024-28024)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-01

Bejelentés dátuma: 2025.01.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Hitachi Energy FOX61x R15A és korábbi verziói;
- Hitachi Energy FOX61x R15B verziói;
- Hitachi Energy FOX61x R16A verziói;
- Hitachi Energy FOX61x R16B E revíziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Relative Path Traversal (CVE-2024-2461)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-07

Bejelentés dátuma: 2025.01.16.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Alpha5 SMART 4.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-34579)/súlyos;
Javítás: A gyártó megerősítette, hogy az Alpha5 rendszerekhez nem készül javítás a sérülékenységre.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-05

Bejelentés dátuma: 2025.01.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- FOX61x R16B-nél korábbi verziói;
- FOXCST 16.2.1-nél korábbi verziói;
- FOXMAN-UN R15A és korábbi verziói;
- FOXMAN-UN R15B PC4 és korábbi verziói;
- FOXMAN-UN R16A verziója;
- FOXMAN-UN R16B PC2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Certificate with Host Mismatch (CVE-2024-2462)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-016-06

Bejelentés dátuma: 2025.01.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-1200 CPU 1211C AC/DC/Rly (6ES7211-1BE40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1214C DC/DC/DC (6ES7214-1AG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1214C DC/DC/Rly (6ES7214-1HG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1214FC DC/DC/DC (6ES7214-1AF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1214FC DC/DC/Rly (6ES7214-1HF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1215C AC/DC/Rly (6ES7215-1BG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1215C DC/DC/DC (6ES7215-1AG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1215C DC/DC/Rly (6ES7215-1HG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1215FC DC/DC/DC (6ES7215-1AF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1215FC DC/DC/Rly (6ES7215-1HF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1217C DC/DC/DC (6ES7217-1AG40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1211C DC/DC/DC (6ES7211-1AE40-0XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212 AC/DC/RLY (6AG1212-1BE40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212 AC/DC/RLY (6AG1212-1BE40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212 DC/DC/RLY (6AG1212-1HE40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212 DC/DC/RLY (6AG1212-1HE40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212C DC/DC/DC (6AG1212-1AE40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212C DC/DC/DC (6AG1212-1AE40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1212C DC/DC/DC RAIL (6AG2212-1AE40-1XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 AC/DC/RLY (6AG1214-1BG40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 AC/DC/RLY (6AG1214-1BG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 AC/DC/RLY (6AG1214-1BG40-5XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1211C DC/DC/Rly (6ES7211-1HE40-0XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/DC (6AG1214-1AG40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/DC (6AG1214-1AG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/DC (6AG1214-1AG40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/RLY (6AG1214-1HG40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/RLY (6AG1214-1HG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214 DC/DC/RLY (6AG1214-1HG40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214C DC/DC/DC RAIL (6AG2214-1AG40-1XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214FC DC/DC/DC (6AG1214-1AF40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1214FC DC/DC/RLY (6AG1214-1HF40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 AC/DC/RLY (6AG1215-1BG40-2XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1212C AC/DC/Rly (6ES7212-1BE40-0XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 AC/DC/RLY (6AG1215-1BG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 AC/DC/RLY (6AG1215-1BG40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 DC/DC/DC (6AG1215-1AG40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 DC/DC/DC (6AG1215-1AG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 DC/DC/RLY (6AG1215-1HG40-2XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 DC/DC/RLY (6AG1215-1HG40-4XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215 DC/DC/RLY (6AG1215-1HG40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215C DC/DC/DC (6AG1215-1AG40-5XB0) V4.7-es és korábbi verziói;
- SIPLUS S7-1200 CPU 1215FC DC/DC/DC (6AG1215-1AF40-5XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1212C DC/DC/DC (6ES7212-1AE40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1212C DC/DC/Rly (6ES7212-1HE40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1212FC DC/DC/DC (6ES7212-1AF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1212FC DC/DC/Rly (6ES7212-1HF40-0XB0) V4.7-es és korábbi verziói;
- SIMATIC S7-1200 CPU 1214C AC/DC/Rly (6ES7214-1BG40-0XB0) V4.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2024-47100)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.01.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIPROTEC 5 6MD84 (CP300) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SA87 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SD82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SD82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SD86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SD87 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SJ81 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SJ81 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SJ82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SJ82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SJ85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 6MD85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SJ86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SK82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SK82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SK85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SL82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SL82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SL86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SL87 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SS85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7ST85 (CP300) minden verziója;
- Siemens SIPROTEC 5 6MD86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7ST86 (CP300) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SX82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SX85 (CP300) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SY82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7UM85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7UT82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7UT82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7UT85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7UT86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7UT87 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 6MD89 (CP300) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7VE85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7VK87 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7VU85 (CP300) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 Compact 7SX800 (CP050) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 6MU85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7KE85 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SA82 (CP100) 7.80-asnál újabb verziói;
- Siemens SIPROTEC 5 7SA82 (CP150) 9.80-asnál korábbi verziói;
- Siemens SIPROTEC 5 7SA86 (CP300) 7.80-asnál újabb, de 9.80-asnál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2024-53649)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.01.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Industrial Edge Management OS (IEM-OS) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-45385)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.01.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Mendix LDAP minden, 1.1.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- LDAP Injection (CVE-2024-56841)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.01.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video Device Pack V13.5-ös és korábbiverziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Log File (CVE-2024-12569)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.01.21.
Gyártó: ZF
Érintett rendszer(ek):
- RSSPlus 2M 01/08-tól 01/23-ig terjedő build verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass By Primary Weakness (CVE-2024-12054)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-021-03

Bejelentés dátuma: 2025.01.21.
Szabvány: Traffic Alert and Collision Avoidance System (TCAS) II
Érintett rendszer(ek):
- TCAS II 7.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Untrusted Inputs in a Security Decision (CVE-2024-9310)/közepes;
- External Control of System or Configuration Setting (CVE-2024-11166)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-021-01

Bejelentés dátuma: 2025.01.23.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO Manager 1.3-asnál korábbi verziói;
- myPRO Runtime 9.2.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-20061)/kritikus;
- OS Command Injection (CVE-2025-20014)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-01

Bejelentés dátuma: 2025.01.23.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- RTU500 sorozatú CMU-k 13.5.1-től 13.5.3-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.4.1-től 13.4.4-ig terjedő firmware-verziói;
- RTU500 sorozatú CMU-k 13.2.1-től 13.2.7-ig terjedő firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improperly Implemented Security Check for Standard (CVE-2024-2617)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-02

Bejelentés dátuma: 2025.01.23.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EVlink Home Smart minden, 2.0.6.0.0-nál korábbi verziója;
- Schneider Charge minden, 1.13.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2024-8070)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.01.23.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy Studio 9.3.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-9002)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.01.23.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Build Rapsody v2.5.2 NL és korábbi verziói;
- EcoStruxure Power Build Rapsody v2.7.1 FR és korábbi verziói;
- EcoStruxure Power Build Rapsody v2.7.5 ES és korábbi verziói;
- EcoStruxure Power Build Rapsody v2.5.4 INT és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-11139)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.01.23.
Gyártó: HMS Networks
Érintett rendszer(ek):
- Ewon Flexy 202 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2025-0432)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-06

Bejelentés dátuma: 2025.01.10.
Gyártó: ABB
Érintett rendszer(ek):
- ASPECT®-Enterprise ASP-ENT-2CQG103201S3021 3.08.02-es és korábbi firmware-verziói;
- ASPECT®-Enterprise ASP-ENT-2CQG103202S3021 3.08.02-es és korábbi firmware-verziói;
- ASPECT®-Enterprise ASP-ENT-2CQG103203S3021 3.08.02-es és korábbi firmware-verziói;
- ASPECT®-Enterprise ASP-ENT-2CQG103204S3021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100102R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100104R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100105R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100106R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100110R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100112R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100103R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100107R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100108R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100109R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100111R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEX-2CQG100113R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100102R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100104R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100105R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100106R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100110R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100112R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100103R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100107R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100108R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100109R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100111R2021 3.08.02-es és korábbi firmware-verziói;
- NEXUS NEXUS-3-2CQG100113R2021 3.08.02-es és korábbi firmware-verziói;
- MATRIX MAT-2CQG100102R1021 3.08.02-es és korábbi firmware-verziói;
- MATRIX MAT-2CQG100103R1021 3.08.02-es és korábbi firmware-verziói;
- MATRIX MAT-2CQG100104R1021 3.08.02-es és korábbi firmware-verziói;
- MATRIX MAT-2CQG100105R1021 3.08.02-es és korábbi firmware-verziói;
- MATRIX MAT-2CQG100106R1021 3.08.02-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unauthorized Access (CVE-2024-6209)/kritikus;
- Remote Code Execution (CVE-2024-6298)/kritikus;
- Clear Text Passwords (CVE-2024-6515)/súlyos;
- Cross Site Scripting XSS (CVE-2024-6516)/súlyos;
- SSRF Server Side Request Forgery (CVE-2024-6784)/kritikus;
- SQL Injection (CVE-2024-48843)/súlyos;
- Denial of Service (CVE-2024-48844)/súlyos;
- Weak Password Rules/Strength (CVE-2024-48845)/kritikus;
- Cross Side Request Forgery (CVE-2024-48846)/súlyos;
- MD5 bypass operation (CVE-2024-48847)/súlyos;
- Remote Code Execution (CVE-2024-48839)/kritikus;
- Unauthorized Access (CVE-2024-48840)/kritikus;
- Local File Inclusion (CVE-2024-51541)/súlyos;
- Configuration Download (CVE-2024-51542)/súlyos;
- Information Disclosure (CVE-2024-51543)/súlyos;
- Service Control (CVE-2024-51544)/súlyos;
- Username Enumeration (CVE-2024-51545)/kritikus;
- Credentials Disclosure (CVE-2024-51546)/súlyos;
- Dangerous File Upload (CVE-2024-51548)/kritikus;
- Absolute Path Traversal (CVE-2024-51549)/kritikus;
- Data Validation/Sanitization (CVE-2024-51550)/kritikus;
- Default Credentials (CVE-2024-51551)/kritikus;
- Off-by-one-error (CVE-2024-51554)/súlyos;
- Force Change of Default Credentials (CVE-2024-51555)/kritikus;
- Filesize Check (CVE-2024-11316)/súlyos;
- PHP Session Fixation (CVE-2024-11317)/kritikus;
Javítás: Elérhető.
Link a publikációhoz: ABB

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.