Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek CDLXIX

Sérülékenységek SinoTrack, Hitachi Energy, Schneider Electric, Siemens, Moxa, AVEVA, ValueHD, PTZOptics, multiCAM Systems és SMTAV rendszerekben

Facebook Tumblr Tweet Pinterest Tetszik
0
2025. június 18. - icscybersec

Bejelentés dátuma: 2025.06.10.
Gyártó: SinoTrack
Érintett rendszer(ek):
- SinoTrack IOT PC Platform minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Authentication (CVE-2025-5484)/súlyos;
- Observable Response Discrepency (CVE-2025-5485)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-160-01

Bejelentés dátuma: 2025.06.10.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Relion 670 2.2.0 verziója;
- Relion 670 2.2.1 verziója;
- Relion 650 2.2.0 verziója;
- Relion 650 2.2.1 verziója;
- Relion 670 2.2.2.0-tól 2.2.2.5-ig terjedő verziói;
- Relion 670 2.2.3.0-tól 2.2.3.6-ig terjedő verziói;
- Relion 670 2.2.4.0-tól 2.2.4.3-ig terjedő verziói;
- Relion 650 2.2.4.0-tól 2.2.4.3-ig terjedő verziói;
- Relion 670 2.2.5.0-tól 2.2.5.5-ig terjedő verziói;
- Relion 650 2.2.5.0-tól 2.2.5.5-ig terjedő verziói;
- SAM600-IO 2.2.1-es verziója;
- SAM600-IO 2.2.5.0-től 2.2.5.5-ig terjedő (a 2.2.5.5 nem érintett) verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Observable Discrepancy (CVE-2022-4304)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-160-02

Bejelentés dátuma: 2025.06.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- M241/M251 Modicon kontrollerek 5.3.12.51-nél korábbi verziói;
- M262 Modicon kontrollerek 5.3.9.18-nál korábbi verziói;
- M258/LMC058 Modicon kontrollerek minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2025-3898)/közepes;
- Cross-site Scripting (CVE-2025-3899)/közepes;
- Uncontrolled Resource Consumption (CVE-2025-3112)/közepes;
- Cross-site Scripting (CVE-2025-3905)/közepes;
- Improper Input Validation (CVE-2025-3116)/közepes;
- Cross-site Scripting (CVE-2025-3117)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.06.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Tecnomatix Plant Simulation V2404 minden, V2404.0013-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2025-32454)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.06.10
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM APE1808 minden, engedélyezett GlobalProtect gateway-t vagy portalt használó Palo Alto Networks Virtual NGFW tűzfalat futtató verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-0133)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.06.10
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM RST2428P (6GK6242-6PA00) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XCM324 (6GK5324-8TS01-2AC2) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XCM328 (6GK5328-4TS01-2AC2) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XCM332 (6GK5332-0GA01-2AC2) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR302-32 (6GK5334-5TS00-2AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR302-32 (6GK5334-5TS00-3AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR302-32 (6GK5334-5TS00-4AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR322-12 (6GK5334-3TS00-2AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR322-12 (6GK5334-3TS00-3AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR322-12 (6GK5334-3TS00-4AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR326-8 (6GK5334-2TS00-2AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XC316-8 (6GK5324-8TS00-2AC2) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR326-8 (6GK5334-2TS00-3AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR326-8 (6GK5334-2TS00-4AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR326-8 EEC (6GK5334-2TS00-2ER3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR502-32 (6GK5534-5TR00-2AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR502-32 (6GK5534-5TR00-3AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR502-32 (6GK5534-5TR00-4AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR522-12 (6GK5534-3TR00-2AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR522-12 (6GK5534-3TR00-3AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR522-12 (6GK5534-3TR00-4AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8 (6GK5534-2TR00-2AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XC324-4 (6GK5328-4TS00-2AC2) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8 (6GK5534-2TR00-3AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XR526-8 (6GK5534-2TR00-4AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XRM334 (2x230 V AC, 8xFO) (6GK5334-2TS01-4AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XRM334 (2x230 V AC, 12xFO) (6GK5334-3TS01-4AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XRM334 (2x230V AC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-4AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XRM334 (24 V DC, 8xFO) (6GK5334-2TS01-2AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XRM334 (24 V DC, 12xFO) (6GK5334-3TS01-2AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XRM334 (24V DC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-2AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XRM334 (230 V AC, 8xFO) (6GK5334-2TS01-3AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XC324-4 EEC (6GK5328-4TS00-2EC2) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XRM334 (230V AC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-3AR3) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XC332 (6GK5332-0GA00-2AC2) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XC416-8 (6GK5424-8TR00-2AC2) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XC424-4 (6GK5428-4TR00-2AC2) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XC432 (6GK5432-0GR00-2AC2) minden, V3.1-nél korábbi verziója;
- Siemens SCALANCE XCH328 (6GK5328-4TS01-2EC2) minden, V3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Privilege Management (CVE-2024-41797)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.06.10
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM RST2428P (6GK6242-6PA00) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XCM324 (6GK5324-8TS01-2AC2) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XCM328 (6GK5328-4TS01-2AC2) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XCM332 (6GK5332-0GA01-2AC2) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR302-32 (6GK5334-5TS00-2AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR302-32 (6GK5334-5TS00-3AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR302-32 (6GK5334-5TS00-4AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR322-12 (6GK5334-3TS00-2AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR322-12 (6GK5334-3TS00-3AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR322-12 (6GK5334-3TS00-4AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR326-8 (6GK5334-2TS00-2AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XC316-8 (6GK5324-8TS00-2AC2) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR326-8 (6GK5334-2TS00-3AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR326-8 (6GK5334-2TS00-4AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR326-8 EEC (6GK5334-2TS00-2ER3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR502-32 (6GK5534-5TR00-2AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR502-32 (6GK5534-5TR00-3AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR502-32 (6GK5534-5TR00-4AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR522-12 (6GK5534-3TR00-2AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR522-12 (6GK5534-3TR00-3AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR522-12 (6GK5534-3TR00-4AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR526-8 (6GK5534-2TR00-2AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XC324-4 (6GK5328-4TS00-2AC2) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR526-8 (6GK5534-2TR00-3AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XR526-8 (6GK5534-2TR00-4AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XRM334 (2x230 V AC, 8xFO) (6GK5334-2TS01-4AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XRM334 (2x230 V AC, 12xFO) (6GK5334-3TS01-4AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XRM334 (2x230V AC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-4AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XRM334 (24 V DC, 8xFO) (6GK5334-2TS01-2AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XRM334 (24 V DC, 12xFO) (6GK5334-3TS01-2AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XRM334 (24V DC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-2AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XRM334 (230 V AC, 8xFO) (6GK5334-2TS01-3AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XC324-4 EEC (6GK5328-4TS00-2EC2) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XRM334 (230V AC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-3AR3) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XC332 (6GK5332-0GA00-2AC2) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XC416-8 (6GK5424-8TR00-2AC2) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XC424-4 (6GK5428-4TR00-2AC2) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XC432 (6GK5432-0GR00-2AC2) minden, V3.2-nél korábbi verziója;
- Siemens SCALANCE XCH328 (6GK5328-4TS01-2EC2) minden, V3.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2025-40567)/közepes;
- Incorrect Authorization (CVE-2025-40568)/közepes;
- Race Condition (CVE-2025-40569)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.06.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0) minden, V3.1.5-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AC0) minden, V3.1.5-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0) minden, V3.1.5-nél korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AC0) minden, V3.1.5-nél korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0) minden, V3.1.5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Encryption of Sensitive Data (CVE-2021-41617)/súlyos;
- Out-of-bounds Read (CVE-2023-4527)/közepes;
- Use After Free (CVE-2023-4806)/közepes;
- Stack-based Buffer Overflow (CVE-2023-4911)/súlyos;
- Incorrect Provision of Specified Functionality (CVE-2023-5363)/súlyos;
- Out-of-bounds Write (CVE-2023-6246)/súlyos;
- Out-of-bounds Write (CVE-2023-6779)/súlyos;
- Incorrect Calculation of Buffer Size (CVE-2023-6780)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28531)/kritikus;
- Heap-based Buffer Overflow (CVE-2023-38545)/súlyos;
- External Control of File Name or Path (CVE-2023-38546)/alacsony;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
- Improper Input Validation (CVE-2023-46218)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-46219)/közepes;
- Truncation of Security-relevant Information (CVE-2023-48795)/közepes;
- Missing Critical Step in Authentication (CVE-2023-51384)/közepes;
- OS Command Injection (CVE-2023-51385)/közepes;
- Improper Input Validation (CVE-2023-52927)/közepes;
- Out-of-bounds Write (CVE-2024-2961)/súlyos;
- Type Confusion (CVE-2024-6119)/súlyos;
- Signal Handler Race Condition (CVE-2024-6387)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2024-12133)/közepes;
- Inefficient Algorithmic Complexity (CVE-2024-12243)/közepes;
- Race Condition (CVE-2024-24855)/közepes;
- Improper Input Validation (CVE-2024-26596)/közepes;
- Improper Input Validation (CVE-2024-28085)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-33599)/súlyos;
- NULL Pointer Dereference (CVE-2024-33600)/közepes;
- Reachable Assertion (CVE-2024-33601)/közepes;
- Return of Pointer Value Outside of Expected Range (CVE-2024-33602)/közepes;
- Improper Input Validation (CVE-2024-34397)/közepes;
- Improper Handling of Length Parameter Inconsistency (CVE-2024-37370)/súlyos;
- Improper Handling of Length Parameter Inconsistency (CVE-2024-37371)/közepes;
- Incorrect Calculation of Buffer Size (CVE-2024-45490)/kritikus;
- Integer Overflow or Wraparound (CVE-2024-45491)/súlyos;
- Integer Overflow or Wraparound (CVE-2024-45492)/súlyos;
- Improper Input Validation (CVE-2024-50246)/súlyos;
- Use After Free (CVE-2024-53166)/súlyos;
- Improper Locking (CVE-2024-57977)/közepes;
- Improper Validation of Array Index (CVE-2024-57996)/közepes;
- Improper Input Validation (CVE-2024-58005)/közepes;
- Buffer Underflow (CVE-2025-4373)/közepes;
- Signal Handler Race Condition (CVE-2025-4598)/közepes;
- Race Condition (CVE-2025-21701)/közepes;
- Improper Input Validation (CVE-2025-21702)/súlyos;
- Improper Input Validation (CVE-2025-21712)/közepes;
- Improper Input Validation (CVE-2025-21724)/közepes;
- Improper Input Validation (CVE-2025-21728)/közepes;
- Improper Input Validation (CVE-2025-21745)/közepes;
- Improper Input Validation (CVE-2025-21756)/közepes;
- Improper Input Validation (CVE-2025-21758)/közepes;
- Improper Input Validation (CVE-2025-21765)/közepes;
- Improper Input Validation (CVE-2025-21766)/közepes;
- Improper Input Validation (CVE-2025-21767)/közepes;
- Improper Input Validation (CVE-2025-21795)/közepes;
- Improper Input Validation (CVE-2025-21796)/közepes;
- NULL Pointer Dereference (CVE-2025-21848)/közepes;
- Use of Uninitialized Resource (CVE-2025-21862)/közepes;
- NULL Pointer Dereference (CVE-2025-21864)/közepes;
- Out-of-bounds Write (CVE-2025-21865/közepes;
- Detection of Error Condition Without Action (CVE-2025-26465)/közepes;
- Premature Release of Resource During Expected Lifetime (CVE-2025-31115)/súlyos;
- Improper Input Validation (CVE-2025-46836)/közepes;
Javítás: A gyártó jelenleg is dolgozik a javításon.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.06.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Energy Services minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2025-40585)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.06.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Studio Pro 8 minden, V8.18.35-nél korábbi verziója;
- Mendix Studio Pro 9 minden, V9.24.35-nél korábbi verziója;
- Mendix Studio Pro 10 minden, V10.23.0-nál korábbi verziója;
- Mendix Studio Pro 10.6 minden, V10.6.24-nél korábbi verziója;
- Mendix Studio Pro 10.12 minden, V10.12.17-nél korábbi verziója;
- Mendix Studio Pro 10.18 minden, V10.18.7-nél korábbi verziója;
- Mendix Studio Pro 11 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-40592)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2025.06.12.
Gyártó: Moxa
Érintett rendszer(ek):
- PT-G7728 sorozatú eszközök 6.5-ös és korábbi firmware-verziói;
- PT-G7828 sorozatú eszközök 6.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Type of Input (CVE-2024-9404)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.06.12.
Gyártó: AVEVA
Érintett rendszer(ek):
- PI Data Archive 2018 SP3 Patch 4-es és korábbi verziói;
- PI Data Archive 2023-as verziója;
- PI Data Archive 2023 Patch 1-es verziója;
- PI Server 2018 SP3 Patch 6-os és korábbi verziói;
- PI Server 2023-as verziója;
- PI Server 2023 Patch 1-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncaught Exception (CVE-2025-44019)/súlyos;
- Uncaught Exception (CVE-2025-36539)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-162-07

Bejelentés dátuma: 2025.06.12.
Gyártó: AVEVA
Érintett rendszer(ek):
- PI Web API 2023 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-2745)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-162-08

Bejelentés dátuma: 2025.06.12.
Gyártó: AVEVA
Érintett rendszer(ek):
- PI Connector for CygNet 1.6.14-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-4417)/közepes;
- Improper Validation of Integrity Check Value (CVE-2025-4418)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-162-09

Bejelentés dátuma: 2025.06.12.
Gyártó: ValueHD, PTZOptics, multiCAM Systems, SMTAV
Érintett rendszer(ek):
- PTZOptics PT12X-SDI-xx-G2 minden, 6.3.34-es és korábbi verziója;
- PTZOptics PT12X-NDI-xx minden, 6.3.34-es és korábbi verziója;
- PTZOptics PT12X-USB-xx-G2 minden, 6.2.81-es és korábbi verziója;
- PTZOptics PT20X-SDI-xx-G2 minden, 6.3.20-as és korábbi verziója;
- PTZOptics PT20X-NDI-xx minden, 6.3.20-as és korábbi verziója;
- PTZOptics PT20X-USB-xx-G2 minden, 6.2.73-as és korábbi verziója;
- PTZOptics PT30X-SDI-xx-G2 minden, 6.3.30-as és korábbi verziója;
- PTZOptics PT30X-NDI-xx minden, 6.3.30-as és korábbi verziója;
- PTZOptics PT12X-ZCAM minden, 7.2.76-os és korábbi verziója;
- PTZOptics PT20X-ZCAM minden, 7.2.82-es és korábbi verziója;
- PTZOptics PTVL-ZCAM minden, 7.2.79-es és korábbi verziója;
- PTZOptics PTEPTZ-ZCAM-G2 minden, 8.1.81-es és korábbi verziója;
- PTZOptics PTEPTZ-NDI-ZCAM-G2 minden, 8.1.81-es és korábbi verziója;
- PTZOptics PT12X-SDI-xx-G2 minden verziója;
- PTZOptics PT12X-NDI-xx minden verziója;
- PTZOptics PT12X-USB-xx-G2 minden verziója;
- PTZOptics PT20X-SDI-xx-G2 minden verziója;
- PTZOpticsPT20X-NDI-xx minden verziója;
- PTZOptics PT20X-USB-xx-G2 minden verziója;
- PTZOptics PT30X-SDI-xx-G2 minden verziója;
- PTZOptics PT30X-NDI-xx minden verziója;
- PTZOptics PT12X-ZCAM minden verziója;
- PTZOptics PT20X-ZCAM minden verziója;
- PTZOptics PTVL-ZCAM minden verziója;
- PTZOptics PTEPTZ-ZCAM-G2 minden verziója;
- PTZOptics PTEPTZ-NDI-ZCAM-G2 minden verziója;
- PTZOptics PT12X-4K-xx-G3 minden, 0.0.58-as és korábbi verziója;
- PTZOptics PT20X-4K-xx-G3 minden, 0.0.85-as és korábbi verziója;
- PTZOptics PT30X-4K-xx-G3 minden, 2.0.64-es és korábbi verziója;
- PTZOptics PT12X-LINK-4K-xx minden, 0.0.63-as és korábbi verziója;
- PTZOptics PT20X-LINK-4K-xx minden, 0.0.89-es és korábbi verziója;
- PTZOptics PT30X-LINK-4K-xx minden, 2.0.71-es és korábbi verziója;
- PTZOptics PT12X-SE-xx-G3 minden, 9.1.43-as és korábbi verziója;
- PTZOptics PT20X-SE-xx-G3 minden, 9.1.32-es és korábbi verziója;
- PTZOptics PT30X-SE-xx-G3 minden, 9.1.33-as és korábbi verziója;
- PTZOptics PT-STUDIOPRO minden, 9.0.41-es és korábbi verziója;
- PTZOptics PTZOptics VL Fixed Camera/NDI Fixed Camera minden, 7.2.94-es és korábbi verziói;
- SMTAV Pan-Tilt-Zoom Cameras minden verziója;
- multiCAM Systems Pan-Tilt-Zoom Cameras minden verziója;
- ValueHD Pan-Tilt-Zoom Cameras minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-8956)/kritikus;
- OS Command Injection (CVE-2024-8957)/súlyos;
- Use of Hard-coded Credentials (CVE-2025-35451)/kritikus;
- Use of Hard-coded Credentials (CVE-2025-35452)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-162-10

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szólj hozzá!
Siemens Schneider Electric Moxa ICS sérülékenység Siemens ProductCERT AVEVA Hitachi Energy SinoTrack ValueHD PTZOptics multiCAM Systems SMTAV

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr5218889410

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása