Bejelentés dátuma: 2025.04.15.
Gyártó: Growatt
Érintett rendszer(ek):
- Growatt cloud portal 3.6.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-30511)/súlyos;
- Authorization Bypass Through User-Controlled Key (CVE-2025-31933)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-31949)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-31357)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-31941)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-24487)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-27568)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-30254)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-27939)/súlyos;
- Authorization Bypass Through User-Controlled Key (CVE-2025-27938)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-30514)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-31654)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-27719)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-26857)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-31945)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-31950)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-27575)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-27565)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-25276)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-24850)/közepes;
- Insufficient Type Distinction (CVE-2025-30510)/kritikus;
- Cross-site Scripting (CVE-2025-24297)/kritikus;
- Authorization Bypass Through User-Controlled Key (CVE-2025-27927)/közepes;
- External Control of System or Configuration Setting (CVE-2025-30512)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-31360)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-31147)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-30257)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-27561)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-24315)/közepes;
- Authorization Bypass Through User-Controlled Key (CVE-2025-27929)/közepes;
Javítás: Megtörtént
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-04

Bejelentés dátuma: 2025.04.15.
Gyártó: Lantronix
Érintett rendszer(ek):
- Xport 6.5.0.7-től 7.0.0.3-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-2567)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-05

Bejelentés dátuma: 2025.04.15.
Gyártó: National Instruments
Érintett rendszer(ek):
- LabVIEW 2025 Q1 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2025-2631)/súlyos;
- Out-of-bounds Write (CVE-2025-2632)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-06

Bejelentés dátuma: 2025.04.15.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- COMMGR (Version 1) minden verziója;
- COMMGR (Version 2) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) (CVE-2025-3495)/kritikus;
Javítás: A COMMGR (Version 1)-hez nincs, a termék elérte életcikulsa végét. A COMMGR (Version 2)-höz a gyártó dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-07

Bejelentés dátuma: 2025.04.15.
Gyártó: ABB
Érintett rendszer(ek):
- M2M Gateway ARM600 4.1.2-től 5.0.3-ig terjedő verziói;
- M2M Gateway SW 5.0.1-től 5.0.3-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2022-23521)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-41903)/súlyos;
- HTTP Request/Response Smuggling (CVE-2023-25690)/súlyos;
- Unquoted Search Path or Element (CVE-2023-38408)/súlyos;
- Untrusted Search Path (CVE-2016-10009)/közepes;
- Use After Free (CVE-2022-2526)/alacsony;
- Out-of-bounds Write (CVE-2022-37434)/súlyos;
- Classic Buffer Overflow (CVE-2023-20032)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2022-38177)/súlyos;
- Missing Release of Memory after Effective Lifetime (CVE-2022-38178)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2828)/közepes;
- Out-of-bounds Write (CVE-2023-3341)/súlyos;
- Improper Privilege Management (CVE-2022-41974)/súlyos;
- Use After Free (CVE-2022-40674)/súlyos;
- Path Traversal (CVE-2023-25652)/súlyos;
- Injection (CVE-2023-29007)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-2964)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-26401)/közepes;
- Incorrect Calculation of Buffer Size (CVE-2022-4378)/súlyos;
- Use After Free (CVE-2022-42703)/közepes;
- Race Condition (CVE-2022-3564)/közepes;
- Use After Free (CVE-2023-32233/súlyos;
- Out-of-bounds Write (CVE-2023-35001)/súlyos;
- Use After Free (CVE-2023-3609)/súlyos;
- Out-of-bounds Write (CVE-2023-42753)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-42898)/súlyos;
- Out-of-bounds Write (CVE-2020-22218)/közepes;
- Type Confusion (CVE-2023-0286)/közepes;
- Improper Input Validation (CVE-2023-24329)/közepes;
- Improper Input Validation (CVE-2022-29154)/közepes;
- Improper Privilege Management (CVE-2023-22809)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-25147)/súlyos;
- HTTP Request/Response Smuggling (CVE-2021-25220)/közepes;
- Uncontrolled Resource Consumption (CVE-2022-2795)/alacsony;
- Out-of-bounds Write (CVE-2022-43750)/közepes;
- Observable Discrepancy (CVE-2023-20569)/közepes;
- Generation of Error Message Containing Sensitive Information (CVE-2023-20593)/közepes;
- Improper Authentication (CVE-2023-40217)/közepes;
- Improper Validation of Integrity Check Value (CVE-2023-48795)/közepes;
- Inadequate Encryption Strength (CVE-2013-0169)/közepes;
- Improper Removal of Sensitive Information Before Storage or Transfer (CVE-2012-4929)/alacsony;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-1999-0524)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-08

Bejelentés dátuma: 2025.04.15.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- smartRTU 3.37-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-3232)/súlyos;
- OS Command Injection (CVE-2025-3128)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-09

Bejelentés dátuma: 2025.04.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Trio Q Licensed Data Radio 2.7.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insecure Storage of Sensitive Information (CVE-2025-2440)/közepes;
- Initialization of a Resource with an Insecure Default (CVE-2025-2441)/közepes;
- Initialization of a Resource with an Insecure Default (CVE-2025-2442)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.04.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Sage 1410 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 1430 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 1450 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 2400 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 4400 C3414-500-S02K5_P8-as és korábbi verziói;
- Sage 3030 Magnum C3414-500-S02K5_P8-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-37036)/kritikus;
- Path Traversal (CVE-2024-37037)/súlyos;
- Incorrect Default Permissions (CVE-2024-37038)/súlyos;
- Unchecked Return Value (CVE-2024-37039)/közepes;
- Classic Buffer Overflow (CVE-2024-37040)/közepes;
- Out-of-bounds Read (CVE-2024-5560)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.04.17.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric ConneXium Network Manager minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Files or Directories Accessible to External Parties (CVE-2025-2222)/súlyos;
- Improper Input Validation (CVE-2025-2223)/súlyos;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.04.17.
Gyártó: Yokogawa
Érintett rendszer(ek):
- GX10/GX20/GP10/GP20 Paperless Recorders R5.04.01-es és korábbi verziói;
- GM Data Acquisition System R5.05.01-es és korábbi verziói;
- DX1000 / DX2000 / DX1000N Paperless Recorders R4.21-es és korábbi verziói;
- FX1000 Paperless Recorders R1.31-es és korábbi verziói;
- μR10000 / μR20000 Chart Recorders R1.51-es és korábbi verziói;
- MW100 Data Acquisition Units minden verziója;
- DX1000T / DX2000T Paperless Recorders minden verziója;
- CX1000 / CX2000 Paperless Recorders minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-1863)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-107-04

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.