Bejelentés dátuma: 2025.04.02.
Gyártó: Moxa
Érintett rendszer(ek):
- EDF-G1002-BP sorozatú eszközök 3.14-es és korábbi firmware-verziói;
- EDR-810 sorozatú eszközök 5.12.39-es és korábbi firmware-verziói;
- EDR-8010 sorozatú eszközök 3.14-es és korábbi firmware-verziói;
- EDR-G9004 sorozatú eszközök 3.14-es és korábbi firmware-verziói;
- EDR-G9010 sorozatú eszközök 3.14-es és korábbi firmware-verziói;
- NAT-102 sorozatú eszközök 3.15-ös és korábbi firmware-verziói;
- OnCell G4302-LTE4 sorozatú eszközök 3.14-es és korábbi firmware-verziói;
- TN-4900 sorozatú eszközök 3.14-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-0676)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.04.22.
Gyártó: Siemens
Érintett rendszer(ek):
- TeleControl Server Basic V3.1.2.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2025-27495)/kritikus;
- SQL Injection (CVE-2025-27539)/kritikus;
- SQL Injection (CVE-2025-27540)/kritikus;
- SQL Injection (CVE-2025-29905)/súlyos;
- SQL Injection (CVE-2025-30002)/súlyos;
- SQL Injection (CVE-2025-30003)/súlyos;
- SQL Injection (CVE-2025-30030)/súlyos;
- SQL Injection (CVE-2025-30031)/súlyos;
- SQL Injection (CVE-2025-30032)/súlyos;
- SQL Injection (CVE-2025-31343)/súlyos;
- SQL Injection (CVE-2025-31349)/súlyos;
- SQL Injection (CVE-2025-31350)/súlyos;
- SQL Injection (CVE-2025-31351)/súlyos;
- SQL Injection (CVE-2025-31352)/súlyos;
- SQL Injection (CVE-2025-31353)/súlyos;
- SQL Injection (CVE-2025-32475)/súlyos;
- SQL Injection (CVE-2025-32822)/súlyos;
- SQL Injection (CVE-2025-32823)/súlyos;
- SQL Injection (CVE-2025-32824)/súlyos;
- SQL Injection (CVE-2025-32825)/súlyos;
- SQL Injection (CVE-2025-32826)/súlyos;
- SQL Injection (CVE-2025-32827)/súlyos;
- SQL Injection (CVE-2025-32828)/súlyos;
- SQL Injection (CVE-2025-32829)/súlyos;
- SQL Injection (CVE-2025-32830)/súlyos;
- SQL Injection (CVE-2025-32831)/súlyos;
- SQL Injection (CVE-2025-32832)/súlyos;
- SQL Injection (CVE-2025-32833)/súlyos;
- SQL Injection (CVE-2025-32834)/súlyos;
- SQL Injection (CVE-2025-32835)/súlyos;
- SQL Injection (CVE-2025-32836)/súlyos;
- SQL Injection (CVE-2025-32837)/súlyos;
- SQL Injection (CVE-2025-32838)/súlyos;
- SQL Injection (CVE-2025-32839)/súlyos;
- SQL Injection (CVE-2025-32840)/súlyos;
- SQL Injection (CVE-2025-32841)/súlyos;
- SQL Injection (CVE-2025-32842)/súlyos;
- SQL Injection (CVE-2025-32843)/súlyos;
- SQL Injection (CVE-2025-32844)/súlyos;
- SQL Injection (CVE-2025-32845)/súlyos;
- SQL Injection (CVE-2025-32846)/súlyos;
- SQL Injection (CVE-2025-32847)/súlyos;
- SQL Injection (CVE-2025-32848)/súlyos;
- SQL Injection (CVE-2025-32849)/súlyos;
- SQL Injection (CVE-2025-32850)/súlyos;
- SQL Injection (CVE-2025-32851)/súlyos;
- SQL Injection (CVE-2025-32852)/súlyos;
- SQL Injection (CVE-2025-32853)/súlyos;
- SQL Injection (CVE-2025-32854)/súlyos;
- SQL Injection (CVE-2025-32855)/súlyos;
- SQL Injection (CVE-2025-32856)/súlyos;
- SQL Injection (CVE-2025-32857)/súlyos;
- SQL Injection (CVE-2025-32858)/súlyos;
- SQL Injection (CVE-2025-32859)/súlyos;
- SQL Injection (CVE-2025-32860)/súlyos;
- SQL Injection (CVE-2025-32861)/súlyos;
- SQL Injection (CVE-2025-32862)/súlyos;
- SQL Injection (CVE-2025-32863)/súlyos;
- SQL Injection (CVE-2025-32864)/súlyos;
- SQL Injection (CVE-2025-32865)/súlyos;
- SQL Injection (CVE-2025-32866)/súlyos;
- SQL Injection (CVE-2025-32867)/súlyos;
- SQL Injection (CVE-2025-32868)/súlyos;
- SQL Injection (CVE-2025-32869)/súlyos;
- SQL Injection (CVE-2025-32870)/súlyos;
- SQL Injection (CVE-2025-32871)/súlyos;
- SQL Injection (CVE-2025-32872)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.04.22.
Gyártó: Siemens
Érintett rendszer(ek):
- TeleControl Server Basic V3.1.2.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Handling of Length Parameter Inconsistency (CVE-2025-29931)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.04.22.
Gyártó: ABB
Érintett rendszer(ek):
- ACS6080 LAAAA 2.10.0-tól LAAAB 5.06.1-ig terjedő verziói;
- ACS5000 LAAAB 4.03.0-tól LAAAB 5.06.1-ig terjedő verziói;
- ACS6000 LAAAA 2.10.0-tól LAAAB 5.06.1-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-4046)/súlyos;
- Improper Input Validation (CVE-2023-37550)/közepes;
- Improper Input Validation (CVE-2023-37549)/közepes;
- Improper Input Validation (CVE-2023-37548)/közepes;
- Improper Input Validation (CVE-2023-37547/közepes;
- Improper Input Validation (CVE-2023-37546)/közepes;
- Improper Input Validation (CVE-2023-37545)/közepes;
- Improper Input Validation (CVE-2023-37556)/közepes;
- Improper Input Validation (CVE-2023-37555)/közepes;
- Improper Input Validation (CVE-2023-37554)/közepes;
- Improper Input Validation (CVE-2023-37553)/közepes;
- Improper Input Validation (CVE-2023-37552)/közepes;
- Out-of-bounds Write (CVE-2023-37557)/közepes;
- Improper Input Validation (CVE-2023-37559)/közepes;
- Improper Input Validation (CVE-2023-37558)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-112-04

Bejelentés dátuma: 2025.04.24.
Gyártó: ALBEDO Telecom
Érintett rendszer(ek):
- Net.Time - PTP/NTP (NBC0081P sorozatszámú rendszerek) 1.4.4-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficient Session Expiration (CVE-2025-2185)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-02

Bejelentés dátuma: 2025.04.24.
Gyártó: Vestel
Érintett rendszer(ek):
- EVC04 típusú AC töltők 3.75.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2025-3606)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-03

Bejelentés dátuma: 2025.04.24.
Gyártó: Nice
Érintett rendszer(ek):
- Linear eMerge E3 1.00-07-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2024-9441)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-04

Bejelentés dátuma: 2025.04.24.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- ICU 6.9.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-26382)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-05

Bejelentés dátuma: 2025.04.24.
Gyártó: Planet Technology
Érintett rendszer(ek):
- UNI-NMS-Lite 1.0b211018-as és korábbi verziói;
- NMS-500 minden verziója;
- NMS-1000V minden verziója;
- WGS-804HPT-V2 2.305b250121-es és korábbi verziói;
- WGS-4215-8T2S 1.305b241115-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-46271)/kritikus;
- OS Command Injection (CVE-2025-46272)/kritikus;
- Use of Hard-coded Credentials (CVE-2025-46273)/kritikus;
- Use of Hard-coded Credentials (CVE-2025-46274)/kritikus;
- Missing Authentication for Critical Function (CVE-2025-46275)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-06

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.