A villamosenergia-rendszer méltán keveset emlegetett elemei az alállomások, az alállomásokon pedig a védelmek, amiknek elsődleges feladata, hogy megvédjék a nagyobb értékű alállomási berendezéseket (főként transzformátorokat) attól, hogy a feszültség-szint változások miatt károk keletkezzenek ezekben.

Ahogy minden más berendezés a villamosenergia-rendszerben, úgy a védelmeknél is egyre nagyobb a digitális berendezések részaránya, ezek a digitális védelmek pedig célpontjai lehetnek kibertámadásoknak. Ezt már láttuk legkésőbb 2016-ban, amikor a Sandworm néven (is) ismert, szinte már bizonyítottan orosz (katonai) titkosszolgálati hátterű APT-csoport az Ukrenergo ukrán TSO Kijev melletti alállomása ellen indított kibertámadást. Ennek során egyes elemzők (elsősorban Joe Slowik) szerint a támadás egyik fő célja a digitális védelmek kiiktatása volt - ez végül nem sikerült, egy már-már banális programozás hiba miatt.

A mai poszt tárgya az a Mandiant/Google Cloud munkatársai által írt tanulmány, aminek egyetlen témája a villamosenergia-rendszer alállomási berendezéseinek kiberbiztonsága. A cikkben bemutatják az alállomási berendezések alapvető eszköztípusait, a jellemző alállomási hálózati architektúrát, a kommunikáció egyes rétegeit, a digitális védelmek működését, a támadók jellemző technikáit és a védelmek sérülékenységeinek kihasználási példáit. Külön fejezet foglalkozik azzal, a támadók hogyan lehetnek képesek támadni a védelmek TR logikáját és azzal is, hogy a mik a leggyakoribb tévedések az alállomási környezetekben. Végül pedig bemutatnak egy Top10 intézkedést, amivel javítani lehet az alállomási digitális rendszerek biztonsági helyzetet.

A "Protecting the Core: Securing Protection Relays in Modern Substations" című publikáció a Google weboldalán érhető el.

Bejelentés dátuma: 2025.08.12.
Gyártó: Ashlar-Vellum
Érintett rendszer(ek):
- Cobalt minden, 12.6.1204.204-nél korábbi verziója;
- Xenon minden, 12.6.1204.204-nél korábbi verziója;
- Argon minden, 12.6.1204.204-nél korábbi verziója;
- Lithium minden, 12.6.1204.204-nél korábbi verziója;
- Cobalt Share minden, 12.6.1204.204-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2025-53705)/súlyos;
- Out-of-bounds Read (CVE-2025-41392)/súlyos;
- Heap-based Buffer Overflow (CVE-2025-52584)/súlyos;
- Heap-based Buffer Overflow (CVE-2025-46269)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-01

Bejelentés dátuma: 2025.08.12.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- iSTAR Ultra 6.9.2.CU02-es és korábbi verziói;
- iSTAR Ultra SE 6.9.2.CU02-es és korábbi verziói;
- iSTAR Ultra G2 6.9.2.CU02-es és korábbi verziói;
- iSTAR Ultra G2 SE 6.9.2.CU02-es és korábbi verziói;
- iSTAR Edge G2 6.9.2.CU02-es és korábbi verziói;
- iSTAR Ultra minden verziója;
- iSTAR Ultra SE minden verziója;
- iSTAR Ultra G2 minden verziója;
- iSTAR Ultra G2 SE minden verziója;
- iSTAR Edge G2 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-53695)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2025-53696)/súlyos;
- Use of Default Credentials (CVE-2025-53697)/közepes;
- Missing Protection Mechanism for Alternate Hardware Interface (CVE-2025-53698)/közepes;
- Missing Protection Mechanism for Alternate Hardware Interface (CVE-2025-53699)/közepes;
- Insecure Storage of Sensitive Information (CVE-2025-53700)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-02

Bejelentés dátuma: 2025.08.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Monitoring Expert 13.1-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-54926)/közepes;
- Path Traversal (CVE-2025-54927)/súlyos;
- Deserialization of Untrusted Data (CVE-2025-54923)/súlyos;
- Server-Side Request Forgery (CVE-2025-54924)/súlyos;
- Server-Side Request Forgery (CVE-2025-54925)/súlyos;
Javítás: A gyártó a hibák javítását várhatóan 2025.11.11-én fogja kiadni.
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- SESU v3.0.12-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Link Following (CVE-2025-5296)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.08.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Building Operation Enterprise Server 7.0.1-nél korábbi verziója;
- EcoStruxure TM Enterprise Server 7.0.1-nél korábbi verziója;
- EcoStruxure TM Workstation 7.0.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2025-8449)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2025-8448)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.08.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 minden verziója;
- BMXNOR0200H: Ethernet/soros RTU Modul minden verziója;
- BMXNGD0100: M580 Global Data modul minden verziója;
- BMXNOC0401: Modicon M340 X80 Ethernet kommunikációs modulok minden verziója;
- BMXNOE0100: Modbus/TCP Ethernet Modicon M340 modul 3.60-nál koárbbi verziói;
- BMXNOE0110: Modbus/TCP Ethernet Modicon M340 FactoryCast modul 6.80-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2025-6625)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.08.12.
Gyártó: AVEVA
Érintett rendszer(ek):
- PI Integrator for Business Analytics 2020 R2 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2025-54460)/súlyos;
- Insertion of Sensitive Information into Sent Data (CVE-2025-41415)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-04

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC RTLS Locating Manager minden, 3.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reachable Assertion (CVE-2025-30034)/közepes;
- Insufficiently Protected Credentials (CVE-2025-40751)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens COMOS minden, V10.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2024-8894)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM RST2428P (6GK6242-6PA00) 3.2-nél korábbi verziói;
- Siemens SCALANCE XC-300/XR-300/XC-400/XR-500WG/XR-500 termékcsalád 3.2-nél korábbi verziói;
- Siemens SCALANCE XCM-/XRM-/XCH-/XRH-300 family 3.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2021-47316)/közepes;
- Use After Free (CVE-2022-48666)/közepes;
- Out-Of-Bounds Read (CVE-2022-48827)/közepes;
- Improper Input Validation (CVE-2022-48828)/súlyos;
- Incorrect Check Of Function Return Value (CVE-2022-48829)/súlyos;
- Improper Input Validation (CVE-2022-49034)/közepes;
- Improper Input Validation (CVE-2023-52887)/közepes;
- Improper Input Validation (CVE-2023-52917)/közepes;
- Incorrect Comparison (CVE-2024-9681)/közepes;
- Resource Injection (CVE-2024-36484)/közepes;
- Race Condition (CVE-2024-36894)/közepes;
- Null Pointer Dereference (CVE-2024-36901)/közepes;
- Improper Input Validation (CVE-2024-36938)/közepes;
- Improper Input Validation (CVE-2024-36974)/közepes;
- Improper Input Validation (CVE-2024-36978)/közepes;
- Improper Input Validation (CVE-2024-37078)/közepes;
- Improper Input Validation (CVE-2024-38586)/közepes;
- Improper Input Validation (CVE-2024-38619)/közepes;
- Improper Input Validation (CVE-2024-39468)/közepes;
- Excessive Platform Resource Consumption Within A Loop (CVE-2024-39469)/közepes;
- Improper Input Validation (CVE-2024-39482)/közepes;
- Allocation Of Resources Without Limits Or Throttling (CVE-2024-39484)/közepes;
- Out-Of-Bounds Read (CVE-2024-39487)/közepes;
- Use After Free (CVE-2024-39495)/közepes;
- Improper Restriction Of Operations Within The Bounds Of A Memory Buffer (CVE-2024-39499)/közepes;
- Improper Input Validation (CVE-2024-39501)/közepes;
- Use After Free (CVE-2024-39502)/közepes;
- Use After Free (CVE-2024-39503)/közepes;
- Improper Input Validation (CVE-2024-39505)/közepes;
- Null Pointer Dereference (CVE-2024-39506)/közepes;
- Improper Input Validation (CVE-2024-39509)/közepes;
- Out-Of-Bounds Read (CVE-2024-40901)/közepes;
- Classic Buffer Overflow (CVE-2024-40902)/közepes;
- Improper Input Validation (CVE-2024-40904)/közepes;
- Improper Input Validation (CVE-2024-40905)/közepes;
- Improper Input Validation (CVE-2024-40912)/közepes;
- Improper Input Validation (CVE-2024-40916)/közepes;
- Improper Input Validation (CVE-2024-40929)/közepes;
- Improper Input Validation (CVE-2024-40931)/közepes;
- Improper Input Validation (CVE-2024-40932)/közepes;
- Improper Resource Shutdown Or Release (CVE-2024-40934)/közepes;
- Out-Of-Bounds Read (CVE-2024-40941)/közepes;
- Resource Leak) (CVE-2024-40942)/közepes;
- Race Condition (CVE-2024-40943)/közepes;
- Return Of Wrong Status Code (CVE-2024-40945)/közepes;
- Improper Input Validation (CVE-2024-40947)/közepes;
- Use After Free (CVE-2024-40958)/közepes;
- Null Pointer Dereference (CVE-2024-40959)/közepes;
- Null Pointer Dereference (CVE-2024-40960)/közepes;
- Null Pointer Dereference (CVE-2024-40961)/közepes;
- Improper Input Validation (CVE-2024-40963)/súlyos;
- Improper Input Validation (CVE-2024-40968)/súlyos;
- Improper Input Validation (CVE-2024-40971)/közepes;
- Improper Input Validation (CVE-2024-40974)/közepes;
- Improper Input Validation (CVE-2024-40976)/közepes;
- Improper Input Validation (CVE-2024-40978)/közepes;
- Improper Input Validation (CVE-2024-40980)/közepes;
- Improper Input Validation (CVE-2024-40981)/alacsony;
- Improper Input Validation (CVE-2024-40983)/közepes;
- Null Pointer Dereference (CVE-2024-40984)/közepes;
- Improper Input Validation (CVE-2024-40987)/közepes;
- Improper Input Validation (CVE-2024-40988)/közepes;
- Improper Input Validation (CVE-2024-40990)/közepes;
- Improper Input Validation (CVE-2024-40995)/közepes;
- Integer Overflow Or Wraparound (CVE-2024-41000)/közepes;
- Improper Input Validation (CVE-2024-41004)/közepes;
- Race Condition (CVE-2024-41005)/közepes;
- Improper Resource Shutdown Or Release (CVE-2024-41006)/közepes;
- Resource Injection (CVE-2024-41007)/alacsony;
- Allocation Of Resources Without Limits Or Throttling (CVE-2024-41009)/közepes;
- Use After Free (CVE-2024-41012)/közepes;
- Improper Input Validation (CVE-2024-41015)/közepes;
- Improper Input Validation (CVE-2024-41017)/közepes;
- Improper Input Validation (CVE-2024-41020)/közepes;
- Improper Input Validation (CVE-2024-41022)/közepes;
- Improper Input Validation (CVE-2024-41034)/közepes;
- Improper Input Validation (CVE-2024-41035)/súlyos;
- Improper Input Validation (CVE-2024-41040)/súlyos;
- Improper Input Validation (CVE-2024-41041)/súlyos;
- Improper Input Validation (CVE-2024-41044)/közepes;
- Double Free (CVE-2024-41046)/közepes;
- Use After Free (CVE-2024-41049)/súlyos;
- Null Pointer Dereference (CVE-2024-41055)/közepes;
- Improper Input Validation (CVE-2024-41059)/súlyos;
- Improper Input Validation (CVE-2024-41063)/közepes;
- Improper Input Validation (CVE-2024-41064)/közepes;
- Improper Input Validation (CVE-2024-41065)/közepes;
- Improper Input Validation (CVE-2024-41068)/közepes;
- Improper Input Validation (CVE-2024-41070)/közepes;
- Improper Input Validation (CVE-2024-41072)/súlyos;
- Improper Input Validation (CVE-2024-41077)/súlyos;
- Improper Input Validation (CVE-2024-41078)/súlyos;
- Improper Input Validation (CVE-2024-41081)/közepes;
- Improper Input Validation (CVE-2024-41087)/súlyos;
- Improper Input Validation (CVE-2024-41089)/közepes;
- Improper Input Validation (CVE-2024-41090)/súlyos;
- Improper Input Validation (CVE-2024-41091)/súlyos;
- Improper Input Validation (CVE-2024-41092)/súlyos;
- Improper Input Validation (CVE-2024-41095)/közepes;
- Improper Input Validation (CVE-2024-41097)/közepes;
- Improper Input Validation (CVE-2024-42076)/közepes;
- Improper Input Validation (CVE-2024-42077)/közepes;
- Allocation Of Resources Without Limits Or Throttling (CVE-2024-42082)/közepes;
- Improper Input Validation (CVE-2024-42084)/súlyos;
- Improper Input Validation (CVE-2024-42086)/súlyos;
- Improper Input Validation (CVE-2024-42087)/súlyos;
- Improper Input Validation (CVE-2024-42092)/közepes;
- Improper Input Validation (CVE-2024-42093)/súlyos;
- Improper Input Validation (CVE-2024-42094)/súlyos;
- Improper Input Validation (CVE-2024-42095)/közepes;
- Improper Input Validation (CVE-2024-42101)/közepes;
- Improper Input Validation (CVE-2024-42105)/közepes;
- Improper Input Validation (CVE-2024-42143)/súlyos;
- Improper Input Validation (CVE-2024-42145)/közepes;
- Improper Input Validation (CVE-2024-42148)/közepes;
- Improper Input Validation (CVE-2024-42152)/súlyos;
- Improper Input Validation (CVE-2024-42153)/közepes;
- Buffer Access With Incorrect Length Value (CVE-2024-42154)/közepes;
- Use Of Uninitialized Variable (CVE-2024-42161)/súlyos;
- Improper Input Validation (CVE-2024-42223)/közepes;
- Improper Input Validation (CVE-2024-42224)/súlyos;
- Improper Input Validation (CVE-2024-42229)/közepes;
- Race Condition (CVE-2024-42232)/közepes;
- Improper Input Validation (CVE-2024-42236)/közepes;
- Resource Injection (CVE-2024-42244)/közepes;
- Improper Input Validation (CVE-2024-42247)/közepes;
- Improper Input Validation (CVE-2024-43098)/közepes;
- Improper Input Validation (CVE-2024-43861)/súlyos;
- Improper Input Validation (CVE-2024-43867)/közepes;
- Use After Free (CVE-2024-43871)/közepes;
- Improper Input Validation (CVE-2024-43879)/közepes;
- Improper Input Validation (CVE-2024-43880)/közepes;
- Improper Input Validation (CVE-2024-43882)/súlyos;
- Improper Input Validation (CVE-2024-43883)/közepes;
- Improper Input Validation (CVE-2024-43889)/közepes;
- Improper Input Validation (CVE-2024-43890)/közepes;
- Improper Input Validation (CVE-2024-43893)/közepes;
- Improper Input Validation (CVE-2024-43894)/közepes;
- Improper Input Validation (CVE-2024-43907)/közepes;
- Improper Input Validation (CVE-2024-43908)/közepes;
- Improper Input Validation (CVE-2024-43914)/közepes;
- Null Pointer Dereference (CVE-2024-44935)/közepes;
- Missing Release Of Memory After Effective Lifetime (CVE-2024-44944)/közepes;
- Improper Input Validation (CVE-2024-44949)/közepes;
- Improper Locking (CVE-2024-44952)/közepes;
- Improper Input Validation (CVE-2024-44954)/közepes;
- Improper Input Validation (CVE-2024-44960)/közepes;
- Improper Handling Of Values (CVE-2024-44965)/közepes;
- Improper Input Validation (CVE-2024-44969)/közepes;
- Missing Release Of Memory After Effective Lifetime (CVE-2024-44971)/közepes;
- Use After Free (CVE-2024-44987)/közepes;
- Improper Input Validation (CVE-2024-44988)/közepes;
- Null Pointer Dereference (CVE-2024-44989)/közepes;
- Null Pointer Dereference (CVE-2024-44990)/közepes;
- Improper Input Validation (CVE-2024-44995)/közepes;
- Improper Input Validation (CVE-2024-44998)/súlyos;
- Improper Input Validation (CVE-2024-44999)/súlyos;
- Improper Input Validation (CVE-2024-45003)/közepes;
- Improper Input Validation (CVE-2024-45006)/közepes;
- Improper Input Validation (CVE-2024-45008)/közepes;
- Improper Input Validation (CVE-2024-45021)/közepes;
- Improper Input Validation (CVE-2024-45025)/közepes;
- Double Free (CVE-2024-46673)/közepes;
- Use After Free (CVE-2024-46674)/közepes;
- Improper Input Validation (CVE-2024-46675)/közepes;
- Improper Input Validation (CVE-2024-46676)/közepes;
- Null Pointer Dereference (CVE-2024-46677)/közepes;
- Race Condition (CVE-2024-46679)/közepes;
- Null Pointer Dereference (CVE-2024-46685)/közepes;
- Improper Input Validation (CVE-2024-46689)/közepes;
- Improper Input Validation (CVE-2024-46702)/közepes;
- Improper Input Validation (CVE-2024-46707)/közepes;
- Improper Input Validation (CVE-2024-46713)/közepes;
- Improper Input Validation (CVE-2024-46714)/közepes;
- Improper Input Validation (CVE-2024-46719)/közepes;
- Improper Input Validation (CVE-2024-46721)/közepes;
- Improper Input Validation (CVE-2024-46722)/közepes;
- Improper Input Validation (CVE-2024-46723)/közepes;
- Improper Input Validation (CVE-2024-46724)/közepes;
- Improper Input Validation (CVE-2024-46725)/közepes;
- Improper Input Validation (CVE-2024-46731)/közepes;
- Improper Input Validation (CVE-2024-46737)/közepes;
- Improper Input Validation (CVE-2024-46738)/súlyos;
- Improper Input Validation (CVE-2024-46739)/közepes;
- Improper Input Validation (CVE-2024-46740)/súlyos;
- Out-Of-Bounds Read (CVE-2024-46743)/súlyos;
- Use Of Uninitialized Resource (CVE-2024-46744)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-46745)/közepes;
- Improper Input Validation (CVE-2024-46747)/közepes;
- Improper Resource Locking (CVE-2024-46750)/közepes;
- Improper Input Validation (CVE-2024-46755)/közepes;
- Improper Input Validation (CVE-2024-46756)/közepes;
- Improper Input Validation (CVE-2024-46757)/közepes;
- Improper Input Validation (CVE-2024-46758)/közepes;
- Buffer Underflow (CVE-2024-46759)/közepes;
- Improper Input Validation (CVE-2024-46761)/közepes;
- Improper Input Validation (CVE-2024-46763)/közepes;
- Improper Input Validation (CVE-2024-46771)/közepes;
- Improper Input Validation (CVE-2024-46777)/közepes;
- Improper Input Validation (CVE-2024-46780)/közepes;
- Improper Input Validation (CVE-2024-46781)/közepes;
- Improper Input Validation (CVE-2024-46782)/közepes;
- Improper Handling Of Values (CVE-2024-46783)/közepes;
- Improper Locking (CVE-2024-46791)/közepes;
- Improper Input Validation (CVE-2024-46798)/közepes;
- Improper Input Validation (CVE-2024-46800)/közepes;
- Improper Input Validation (CVE-2024-46804)/közepes;
- Improper Input Validation (CVE-2024-46814)/közepes;
- Improper Input Validation (CVE-2024-46815)/közepes;
- Improper Input Validation (CVE-2024-46817)/közepes;
- Improper Input Validation (CVE-2024-46818)/közepes;
- Improper Input Validation (CVE-2024-46819)/közepes;
- Improper Input Validation (CVE-2024-46822)/közepes;
- Improper Input Validation (CVE-2024-46828)/közepes;
- Improper Input Validation (CVE-2024-46829)/közepes;
- Improper Input Validation (CVE-2024-46832)/közepes;
- Improper Input Validation (CVE-2024-46840)/közepes;
- Improper Input Validation (CVE-2024-46844)/közepes;
- Improper Input Validation (CVE-2024-47143)/közepes;
- Improper Input Validation (CVE-2024-47659)/közepes;
- Improper Resource Locking (CVE-2024-47660)/közepes;
- Improper Input Validation (CVE-2024-47663)/súlyos;
- Improper Input Validation (CVE-2024-47667)/közepes;
- Improper Input Validation (CVE-2024-47668)/közepes;
- Improper Input Validation (CVE-2024-47669)/közepes;
- Improper Input Validation (CVE-2024-47679)/közepes;
- Null Pointer Dereference (CVE-2024-47684)/közepes;
- Use Of Uninitialized Resource (CVE-2024-47685)/kritikus;
- Null Pointer Dereference (CVE-2024-47692)/közepes;
- Use After Free (CVE-2024-47696)/súlyos;
- Out-Of-Bounds Write (CVE-2024-47697)/súlyos;
- Improper Input Validation (CVE-2024-47698)/közepes;
- Null Pointer Dereference (CVE-2024-47699)/közepes;
- Use After Free (CVE-2024-47701)/súlyos;
- Null Pointer Dereference (CVE-2024-47705)/közepes;
- Use After Free (CVE-2024-47706)/közepes;
- Expired Pointer Dereference (CVE-2024-47709)/közepes;
- Uncontrolled Resource Consumption (CVE-2024-47710)/közepes;
- Null Pointer Dereference (CVE-2024-47712)/közepes;
- Improper Control Of A Resource Through Its Lifetime (CVE-2024-47713)/közepes;
- Use After Free (CVE-2024-47718)/közepes;
- Out-Of-Bounds Read (CVE-2024-47723)/súlyos;
- Improper Locking (CVE-2024-47735)/közepes;
- Null Pointer Dereference (CVE-2024-47737)/közepes;
- Integer Overflow Or Wraparound (CVE-2024-47739)/közepes;
- Improper Input Validation (CVE-2024-47740)/közepes;
- Path Traversal (CVE-2024-47742)/közepes;
- Use After Free (CVE-2024-47747)/közepes;
- Use After Free (CVE-2024-47748)/közepes;
- Null Pointer Dereference (CVE-2024-47749)/közepes;
- Null Pointer Dereference (CVE-2024-47756)/közepes;
- Out-Of-Bounds Read (CVE-2024-47757)/közepes;
- Null Pointer Dereference (CVE-2024-48881)/közepes;
- Incomplete Cleanup (CVE-2024-49851)/közepes;
- Improper Input Validation (CVE-2024-49858)/közepes;
- Type Confusion (CVE-2024-49860)/közepes;
- Improper Input Validation (CVE-2024-49863)/közepes;
- Improper Input Validation (CVE-2024-49867)/közepes;
- Improper Input Validation (CVE-2024-49868)/közepes;
- Improper Input Validation (CVE-2024-49875)/közepes;
- Improper Input Validation (CVE-2024-49877)/közepes;
- Improper Input Validation (CVE-2024-49878)/közepes;
- Improper Input Validation (CVE-2024-49879)/közepes;
- Null Pointer Dereference (CVE-2024-49881)/közepes;
- Improper Input Validation (CVE-2024-49882)/közepes;
- Improper Input Validation (CVE-2024-49883)/közepes;
- Use After Free (CVE-2024-49884)/közepes;
- Use After Free (CVE-2024-49889)/súlyos;
- Null Pointer Dereference (CVE-2024-49890)/közepes;
- Divide By Zero (CVE-2024-49892)/közepes;
- Improper Validation Of Array Index (CVE-2024-49894)/súlyos;
- Improper Input Validation (CVE-2024-49895)/közepes;
- Improper Input Validation (CVE-2024-49896)/közepes;
- Use Of Uninitialized Resource (CVE-2024-49900)/súlyos;
- Improper Input Validation (CVE-2024-49901)/közepes;
- Out-Of-Bounds Read (CVE-2024-49902)/közepes;
- Use After Free (CVE-2024-49903)/súlyos;
- Null Pointer Dereference (CVE-2024-49907)/közepes;
- Null Pointer Dereference (CVE-2024-49913)/közepes;
- Improper Input Validation (CVE-2024-49924)/közepes;
- Out-Of-Bounds Read (CVE-2024-49930)/közepes;
- Improper Input Validation (CVE-2024-49933)/közepes;
- Use After Free (CVE-2024-49936)/közepes;
- Access Of Uninitialized Pointer (CVE-2024-49938)/közepes;
- Null Pointer Dereference (CVE-2024-49944)/közepes;
- Buffer Underflow (CVE-2024-49948)/közepes;
- Buffer Underflow (CVE-2024-49949)/közepes;
- Race Condition (CVE-2024-49952)/közepes;
- Operation On A Resource After Expiration Or Release (CVE-2024-49955)/közepes;
- Improper Input Validation (CVE-2024-49957)/közepes;
- Improper Input Validation (CVE-2024-49958)/közepes;
- Improper Input Validation (CVE-2024-49959)/közepes;
- Improper Input Validation (CVE-2024-49962)/közepes;
- Improper Input Validation (CVE-2024-49963)/közepes;
- Improper Input Validation (CVE-2024-49965)/közepes;
- Improper Input Validation (CVE-2024-49966)/közepes;
- Improper Input Validation (CVE-2024-49967)/közepes;
- Improper Input Validation (CVE-2024-49969)/közepes;
- Improper Input Validation (CVE-2024-49971)/közepes;
- Out-Of-Bounds Write (CVE-2024-49973)/közepes;
- Improper Input Validation (CVE-2024-49975)/közepes;
- Improper Input Validation (CVE-2024-49977)/közepes;
- Improper Input Validation (CVE-2024-49981)/közepes;
- Use After Free (CVE-2023-6270)/súlyos;
- Improper Input Validation (CVE-2024-49983)/közepes;
- Improper Input Validation (CVE-2024-49985)/közepes;
- Improper Input Validation (CVE-2024-49993)/közepes;
- Improper Input Validation (CVE-2024-49995)/közepes;
- Sensitive Information In Resource Not Removed Before Reuse (CVE-2024-49997)/közepes;
- Improper Handling Of Exceptional Conditions (CVE-2024-50001)/közepes;
- Deadlock (CVE-2024-50006)/közepes;
- Improper Input Validation (CVE-2024-50007)/közepes;
- Out-Of-Bounds Write (CVE-2024-50008)/közepes;
- Improper Input Validation (CVE-2024-50013)/közepes;
- Improper Initialization (CVE-2024-50015)/közepes;
- Improper Input Validation (CVE-2024-50024)/közepes;
- Use Of Uninitialized Resource (CVE-2024-50033)/súlyos;
- Use Of Uninitialized Resource (CVE-2024-50035)/súlyos;
- Null Pointer Dereference (CVE-2024-50039)/közepes;
- Detection Of Error Condition Without Action (CVE-2024-50040)/közepes;
- Improper Locking (CVE-2024-50044)/alacsony;
- Null Pointer Dereference (CVE-2024-50045)/közepes;
- Null Pointer Dereference (CVE-2024-50046)/közepes;
- Improper Input Validation (CVE-2024-50049)/közepes;
- Improper Input Validation (CVE-2024-50051)/közepes;
- Improper Input Validation (CVE-2024-50059)/súlyos;
- Improper Input Validation (CVE-2024-50074)/közepes;
- Improper Input Validation (CVE-2024-50082)/közepes;
- Improper Input Validation (CVE-2024-50083)/közepes;
- Improper Input Validation (CVE-2024-50089)/közepes;
- Improper Locking (CVE-2024-50095)/közepes;
- Improper Input Validation (CVE-2024-50096)/közepes;
- Improper Input Validation (CVE-2024-50099)/közepes;
- Improper Input Validation (CVE-2024-50179)/közepes;
- Improper Input Validation (CVE-2024-50180)/közepes;
- Improper Input Validation (CVE-2024-50181)/közepes;
- Improper Input Validation (CVE-2024-50184)/közepes;
- Improper Input Validation (CVE-2024-50185)/közepes;
- Out-Of-Bounds Write (CVE-2024-50188)/közepes;
- Improper Initialization (CVE-2024-50193)/súlyos;
- Improper Input Validation (CVE-2024-50194)/közepes;
- Improper Check For Unusual Or Exceptional Conditions (CVE-2024-50195)/közepes;
- Null Pointer Dereference (CVE-2024-50198)/közepes;
- Improper Input Validation (CVE-2024-50199)/közepes;
- Improper Input Validation (CVE-2024-50201)/közepes;
- Improper Input Validation (CVE-2024-50202)/közepes;
- Improper Input Validation (CVE-2024-50218)/közepes;
- Time-Of-Check Time-Of-Use (Toctou) Race Condition (CVE-2024-50234)/súlyos;
- Improper Input Validation (CVE-2024-50236)/közepes;
- Improper Input Validation (CVE-2024-50237)/közepes;
- Incorrect Calculation Of Buffer Size (CVE-2024-50251)/közepes;
- Out-Of-Bounds Write (CVE-2024-50262)/közepes;
- Improper Input Validation (CVE-2024-50264)/közepes;
- Null Pointer Dereference (CVE-2024-50265)/közepes;
- Improper Input Validation (CVE-2024-50267)/közepes;
- Improper Input Validation (CVE-2024-50268)/közepes;
- Use After Free (CVE-2024-50269)/közepes;
- Use Of Uninitialized Resource (CVE-2024-50273)/közepes;
- Improper Input Validation (CVE-2024-50278)/súlyos;
- Improper Input Validation (CVE-2024-50279)/közepes;
- Improper Input Validation (CVE-2024-50282)/közepes;
- Improper Input Validation (CVE-2024-50287)/közepes;
- Improper Input Validation (CVE-2024-50290)/közepes;
- Improper Input Validation (CVE-2024-50292)/közepes;
- Improper Input Validation (CVE-2024-50295)/közepes;
- Improper Input Validation (CVE-2024-50296)/közepes;
- Incorrect Calculation Of Buffer Size (CVE-2024-50299)/közepes;
- Out-Of-Bounds Read (CVE-2024-50301)/súlyos;
- Use Of Uninitialized Resource (CVE-2024-50302)/súlyos;
- Improper Input Validation (CVE-2024-50304)/közepes;
- Improper Check For Unusual Or Exceptional Conditions (CVE-2024-50602)/közepes;
- Improper Restriction Of Operations Within The Bounds Of A Memory Buffer (CVE-2024-52332)/közepes;
- Improper Input Validation (CVE-2024-53052)/közepes;
- Use After Free (CVE-2024-53057)/közepes;
- Improper Cleanup On Thrown Exception (CVE-2024-53059)/súlyos;
- Improper Input Validation (CVE-2024-53060)/közepes;
- Integer Underflow (Wrap Or Wraparound) (CVE-2024-53061)/súlyos;
- Improper Input Validation (CVE-2024-53063)/közepes;
- Improper Input Validation (CVE-2024-53066)/közepes;
- Improper Input Validation (CVE-2024-53097)/alacsony;
- Missing Initialization Of A Variable (CVE-2024-53101)/közepes;
- Improper Input Validation (CVE-2024-53103)/közepes;
- Improper Input Validation (CVE-2024-53104)/közepes;
- Integer Overflow Or Wraparound (CVE-2024-53145)/közepes;
- Improper Input Validation (CVE-2024-53146)/súlyos;
- Improper Input Validation (CVE-2024-53148)/súlyos;
- Out-Of-Bounds Read (CVE-2024-53150)/közepes;
- Improper Input Validation (CVE-2024-53155)/közepes;
- Improper Input Validation (CVE-2024-53156)/súlyos;
- Improper Input Validation (CVE-2024-53157)/közepes;
- Improper Input Validation (CVE-2024-53158)/közepes;
- Integer Overflow Or Wraparound (CVE-2024-53161)/közepes;
- Use After Free (CVE-2024-53165)/súlyos;
- Improper Input Validation (CVE-2024-53171)/közepes;
- Improper Input Validation (CVE-2024-53172)/közepes;
- Improper Input Validation (CVE-2024-53173)/súlyos;
- Improper Input Validation (CVE-2024-53174)/közepes;
- Improper Input Validation (CVE-2024-53181)/közepes;
- Improper Input Validation (CVE-2024-53183)/közepes;
- Improper Input Validation (CVE-2024-53184)/közepes;
- Use After Free (CVE-2024-53194)/közepes;
- Improper Input Validation (CVE-2024-53197)/közepes;
- Improper Input Validation (CVE-2024-53198)/alacsony;
- Out-Of-Bounds Read (CVE-2024-53214)/súlyos;
- Null Pointer Dereference (CVE-2024-53217)/közepes;
- Null Pointer Dereference (CVE-2024-53226)/közepes;
- Improper Input Validation (CVE-2024-53227)/közepes;
- Use After Free (CVE-2024-53237)/súlyos;
- Improper Input Validation (CVE-2024-53239)/súlyos;
- Null Pointer Dereference (CVE-2024-53240)/közepes;
- Improper Restriction Of Operations Within The Bounds Of A Memory Buffer (CVE-2024-53241)/közepes;
- Improper Input Validation (CVE-2024-53680)/közepes;
- Improper Input Validation (CVE-2024-56531)/közepes;
- Improper Input Validation (CVE-2024-56532)/közepes;
- Improper Input Validation (CVE-2024-56533)/közepes;
- Improper Input Validation (CVE-2024-56539)/közepes;
- Improper Input Validation (CVE-2024-56548)/közepes;
- Improper Input Validation (CVE-2024-56558)/közepes;
- Improper Input Validation (CVE-2024-56562)/közepes;
- Divide By Zero (CVE-2024-56567)/közepes;
- Improper Input Validation (CVE-2024-56568)/közepes;
- Null Pointer Dereference (CVE-2024-56569)/közepes;
- Improper Input Validation (CVE-2024-56570)/közepes;
- Improper Input Validation (CVE-2024-56571)/közepes;
- Missing Release Of Memory After Effective Lifetime (CVE-2024-56572)/közepes;
- Improper Input Validation (CVE-2024-56574)/közepes;
- Improper Input Validation (CVE-2024-56576)/közepes;
- Use After Free (CVE-2024-56581)/súlyos;
- Improper Input Validation (CVE-2024-56586)/közepes;
- Improper Input Validation (CVE-2024-56587)/közepes;
- Improper Input Validation (CVE-2024-56589)/közepes;
- Improper Input Validation (CVE-2024-56593)/közepes;
- Improper Input Validation (CVE-2024-56594)/közepes;
- Improper Input Validation (CVE-2024-56595)/közepes;
- Improper Input Validation (CVE-2024-56596)/közepes;
- Improper Input Validation (CVE-2024-56597)/közepes;
- Improper Input Validation (CVE-2024-56598)/közepes;
- Use After Free (CVE-2024-56600)/súlyos;
- Use After Free (CVE-2024-56601)/súlyos;
- Use After Free (CVE-2024-56602)/közepes;
- Improper Input Validation (CVE-2024-56603)/közepes;
- Improper Input Validation (CVE-2024-56605)/súlyos;
- Use After Free (CVE-2024-56606)/súlyos;
- Improper Input Validation (CVE-2024-56610)/közepes;
- Improper Input Validation (CVE-2024-56615)/közepes;
- Improper Input Validation (CVE-2024-56619)/közepes;
- Improper Input Validation (CVE-2024-56623)/közepes;
- Improper Input Validation (CVE-2024-56629)/közepes;
- Improper Input Validation (CVE-2024-56630)/közepes;
- Improper Input Validation (CVE-2024-56633)/közepes;
- Improper Input Validation (CVE-2024-56634)/közepes;
- Improper Handling Of Unexpected Data Type (CVE-2024-56636)/közepes;
- Improper Input Validation (CVE-2024-56637)/közepes;
- Improper Input Validation (CVE-2024-56642)/súlyos;
- Improper Input Validation (CVE-2024-56643)/közepes;
- Missing Release Of Memory After Effective Lifetime (CVE-2024-56644)/közepes;
- Improper Input Validation (CVE-2024-56645)/közepes;
- Improper Input Validation (CVE-2024-56648)/közepes;
- Out-Of-Bounds Read (CVE-2024-56650)/súlyos;
- Improper Input Validation (CVE-2024-56659)/közepes;
- Improper Input Validation (CVE-2024-56661)/közepes;
- Improper Input Validation (CVE-2024-56662)/súlyos;
- Improper Input Validation (CVE-2024-56670)/közepes;
- Improper Input Validation (CVE-2024-56681)/közepes;
- Improper Input Validation (CVE-2024-56688)/közepes;
- Improper Input Validation (CVE-2024-56690)/közepes;
- Improper Input Validation (CVE-2024-56691)/közepes;
- Improper Input Validation (CVE-2024-56698)/közepes;
- Improper Input Validation (CVE-2024-56700)/közepes;
- Improper Input Validation (CVE-2024-56701)/közepes;
- Improper Input Validation (CVE-2024-56704)/közepes;
- Improper Input Validation (CVE-2024-56705)/közepes;
- Improper Input Validation (CVE-2024-56720)/közepes;
- Improper Input Validation (CVE-2024-56723)/közepes;
- Improper Input Validation (CVE-2024-56724)/közepes;
- Improper Input Validation (CVE-2024-56728)/közepes;
- Improper Input Validation (CVE-2024-56739)/közepes;
- Improper Input Validation (CVE-2024-56741)/közepes;
- Improper Input Validation (CVE-2024-56746)/közepes;
- Improper Input Validation (CVE-2024-56747)/közepes;
- Improper Input Validation (CVE-2024-56748)/közepes;
- Improper Input Validation (CVE-2024-56754)/közepes;
- Improper Input Validation (CVE-2024-56756)/közepes;
- Always-Incorrect Control Flow Implementation (CVE-2024-56770)/közepes;
- Missing Release Of Memory After Effective Lifetime (CVE-2024-56779)/közepes;
- Deadlock (CVE-2024-56780)/közepes;
- Improper Input Validation (CVE-2024-56781)/közepes;
- Improper Validation Of Array Index (CVE-2024-56785)/közepes;
- Access of Uninitialized Pointer (CVE-2024-57874)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-PLCSIM V17 minden verziója;
- SIMOCODE ES V17 minden verziója;
- SIMOCODE ES V18 minden verziója;
- SIMOCODE ES V19 minden verziója;
- SIMOCODE ES V20 minden verziója;
- SIMOTION SCOUT TIA V5.4 minden verziója;
- SIMOTION SCOUT TIA V5.5 minden verziója;
- SIMOTION SCOUT TIA V5.6 minden, V5.6 SP1 HF7-nél korábbi verziója;
- SIMOTION SCOUT TIA V5.7 minden verziója;
- SINAMICS Startdrive V17 minden verziója;
- SINAMICS Startdrive V18 minden verziója;
- SIMATIC STEP 7 V17 minden verziója;
- SINAMICS Startdrive V19 minden verziója;
- SINAMICS Startdrive V20 minden verziója;
- SIRIUS Safety ES V17 (TIA Portal) minden verziója;
- SIRIUS Safety ES V18 (TIA Portal) minden verziója;
- SIRIUS Safety ES V19 (TIA Portal) minden verziója;
- SIRIUS Safety ES V20 (TIA Portal) minden verziója;
- SIRIUS Soft Starter ES V17 (TIA Portal) minden verziója;
- SIRIUS Soft Starter ES V18 (TIA Portal) minden verziója;
- SIRIUS Soft Starter ES V19 (TIA Portal) minden verziója;
- SIRIUS Soft Starter ES V20 (TIA Portal) minden verziója;
- SIMATIC STEP 7 V18 minden verziója;
- TIA Portal Cloud V17 minden verziója;
- TIA Portal Cloud V18 minden verziója;
- TIA Portal Cloud V19 minden, V5.2.1.1-nél korábbi verziója;
- TIA Portal Cloud V20 minden verziója;
- SIMATIC STEP 7 V19 minden, V19 Update 4-nél korábbi verziója;
- SIMATIC STEP 7 V20 minden verziója;
- SIMATIC WinCC V17 minden verziója;
- SIMATIC WinCC V18 minden verziója;
- SIMATIC WinCC V19 minden, V19 Update 4-nél korábbi verziója;
- SIMATIC WinCC V20 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2025-40759)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 4 6MD61 minden verziója;
- SIPROTEC 4 7SJ62 minden verziója;
- SIPROTEC 4 7SJ63 minden verziója;
- SIPROTEC 4 7SJ64 minden verziója;
- SIPROTEC 4 7SJ66 minden verziója;
- SIPROTEC 4 7SS52 minden verziója;
- SIPROTEC 4 7ST6 minden verziója;
- SIPROTEC 4 7UM61 minden verziója;
- SIPROTEC 4 7UM62 minden verziója;
- SIPROTEC 4 7UT63 minden verziója;
- SIPROTEC 4 7UT612 minden verziója;
- SIPROTEC 4 6MD63 minden verziója;
- SIPROTEC 4 7UT613 minden verziója;
- SIPROTEC 4 7VE6 minden verziója;
- SIPROTEC 4 7VK61 minden verziója;
- SIPROTEC 4 7VU683 minden verziója;
- SIPROTEC 4 Compact 7RW80 minden verziója;
- SIPROTEC 4 Compact 7SD80 minden verziója;
- SIPROTEC 4 Compact 7SJ80 minden verziója;
- SIPROTEC 4 Compact 7SJ81 minden verziója;
- SIPROTEC 4 Compact 7SK80 minden verziója;
- SIPROTEC 4 Compact 7SK81 minden verziója;
- SIPROTEC 4 6MD66 minden verziója;
- SIPROTEC 4 6MD665 minden verziója;
- SIPROTEC 4 7SA6 V4.78-nál korábbi verziói;
- SIPROTEC 4 7SA522 minden verziója;
- SIPROTEC 4 7SD5 V4.78-nál korábbi verziói;
- SIPROTEC 4 7SD610 V4.78-nál korábbi verziói;
- SIPROTEC 4 7SJ61 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Check for Unusual or Exceptional Conditions (CVE-2024-52504)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC RTLS Locating Manager V3.2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2025-40746)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM ROX MX5000 minden verziója;
- Siemens RUGGEDCOM ROX RX1536 minden verziója;
- Siemens RUGGEDCOM ROX RX5000 minden verziója;
- Siemens RUGGEDCOM ROX MX5000RE minden verziója;
- Siemens RUGGEDCOM ROX RX1400 minden verziója;
- Siemens RUGGEDCOM ROX RX1500 minden verziója;
- Siemens RUGGEDCOM ROX RX1501 minden verziója;
- Siemens RUGGEDCOM ROX RX1510 minden verziója;
- Siemens RUGGEDCOM ROX RX1511 minden verziója;
- Siemens RUGGEDCOM ROX RX1512 minden verziója;
- Siemens RUGGEDCOM ROX RX1524 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2025-33023)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM RST2428P (6GK6242-6PA00) minden, 3.1-nél korábbi verziója;
- Siemens SCALANCE XC-300/XR-300/XC-400/XR-500WG/XR-500 termékcsalád minden, 3.1-nél korábbi verziója;
- Siemens SCALANCE XCM-/XRM-/XCH-/XRH-300 termékcsalád minden, 3.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Null Pointer Dereference (CVE-2021-44879)/közepes;
- Use After Free (CVE-2022-48935)/közepes;
- Use After Free (CVE-2023-3567)/súlyos;
- Use After Free (CVE-2023-5178)/súlyos;
- Unchecked Input For Loop Condition (CVE-2023-3817)/közepes;
- Out-Of-Bounds Write (CVE-2023-5717)/súlyos;
- Out-Of-Bounds Read (CVE-2023-6040)/súlyos;
- Out-Of-Bounds Read (CVE-2023-6121)/közepes;
- Out-Of-Bounds Read (CVE-2023-6606)/súlyos;
- Out-Of-Bounds Write (CVE-2023-6931)/súlyos;
- Use After Free (CVE-2023-6932)/súlyos;
- Use After Free (CVE-2023-35827)/súlyos;
- Use After Free (CVE-2023-39198)/közepes;
- Out-Of-Bounds Write (CVE-2023-45863)/közepes;
- Null Pointer Dereference (CVE-2023-46343)/súlyos;
- Use After Free (CVE-2023-51779)/súlyos;
- Use After Free (CVE-2023-51780)/súlyos;
- Use After Free (CVE-2023-51781)/súlyos;
- Use After Free (CVE-2023-51782)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-52340)/súlyos;
- Missing Encryption Of Sensitive Data (CVE-2023-52433)/közepes;
- Improper Restriction Of Operations Within The Bounds Of A Memory Buffer (CVE-2023-52435)/közepes;
- Use After Free (CVE-2023-52475)/közepes;
- Null Pointer Dereference (CVE-2023-52477)/közepes;
- Race Condition (CVE-2023-52478)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52486)/közepes;
- Race Condition (CVE-2023-52502)/súlyos;
- Out-Of-Bounds Read (CVE-2023-52504)/közepes;
- Out-Of-Bounds Read (CVE-2023-52507)/súlyos;
- Use After Free (CVE-2023-52509)/közepes;
- Use After Free (CVE-2023-52510)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52581)/közepes;
- Deadlock (CVE-2023-52583)/közepes;
- Improper Resource Locking (CVE-2023-52587)/közepes;
- Out-Of-Bounds Read (CVE-2023-52594)/közepes;
- Improper Input Validation (CVE-2023-52595)/közepes;
- Improper Input Validation (CVE-2023-52597)/súlyos;
- Improper Input Validation (CVE-2023-52598)/közepes;
- Out-Of-Bounds Read (CVE-2023-52599)/súlyos;
- Use After Free (CVE-2023-52600)/súlyos;
- Out-Of-Bounds Read (CVE-2023-52601)/súlyos;
- Out-Of-Bounds Read (CVE-2023-52602)/súlyos;
- Out-Of-Bounds Read (CVE-2023-52603)/súlyos;
- Out-Of-Bounds Read (CVE-2023-52604)/súlyos;
- Stack-Based Buffer Overflow (CVE-2023-52606)/súlyos;
- Use Of Nullpointerexception Catch To Detect Null Pointer Dereference (CVE-2023-52607)/közepes;
- Deadlock (CVE-2023-52615)/közepes;
- Improper Input Validation (CVE-2023-52617)/közepes;
- Improper Control Of Resource Identifiers ('Resource Injection') (CVE-2023-52619)/közepes;
- Incorrect Calculation Of Buffer Size (CVE-2023-52622)/közepes;
- Race Condition (CVE-2023-52623)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52637)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52654)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52655)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52670)/közepes;
- Null Pointer Dereference (CVE-2023-52753)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52764)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52774)/közepes;
- Resource Injection (CVE-2023-52784)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52789)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52791)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52796)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52799)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52804)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52805)/közepes;
- Null Pointer Dereference (CVE-2023-52806)/közepes;
- Null Pointer Dereference (CVE-2023-52809)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52810)/súlyos;
- Missing Encryption Of Sensitive Data (CVE-2023-52813)/közepes;
- Null Pointer Dereference (CVE-2023-52817)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52818)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52819)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52832)/kritikus;
- Out-Of-Bounds Read (CVE-2023-52835)/közepes;
- Improper Control Of Resource Identifiers ('Resource Injection') (CVE-2023-52836)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52838)/alacsony;
- Missing Encryption Of Sensitive Data (CVE-2023-52840)/közepes;
- Improper Input Validation (CVE-2023-52843)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52845)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52847)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52853)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52855)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52858)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52864)/közepes;
- Null Pointer Dereference (CVE-2023-52865)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52867)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52868)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52871)/súlyos;
- Missing Encryption Of Sensitive Data (CVE-2023-52873)/közepes;
- Null Pointer Dereference (CVE-2023-52875)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52876)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52879)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2023-52881)/közepes;
- Null Pointer Dereference (CVE-2023-52919)/közepes;
- Use After Free (CVE-2024-0193)/közepes;
- Use After Free (CVE-2024-0584)/közepes;
- Missing Write Protection For Parametric Data Values (CVE-2024-0646)/súlyos;
- Null Pointer Dereference (CVE-2024-0841)/súlyos;
- Use After Free (CVE-2024-1086)/súlyos;
- Missing Encryption Of Sensitive Data (CVE-2024-26581)/súlyos;
- Out-Of-Bounds Read (CVE-2024-26593)/súlyos;
- Use After Free (CVE-2024-26598)/súlyos;
- Null Pointer Dereference (CVE-2024-26600)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26602)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26606)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26615)/közepes;
- Use After Free (CVE-2024-26625)/súlyos;
- Missing Initialization Of A Variable (CVE-2024-26635)/közepes;
- Improper Resource Locking (CVE-2024-26636)/közepes;
- Race Condition (CVE-2024-26645)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26663)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26664)/közepes;
- Race Condition (CVE-2024-26671)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26673)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26675)/közepes;
- Improper Resource Locking (CVE-2024-26679)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26684)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26685)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26688)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26696)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26697)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26702)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26704)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26720)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26722)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26735)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26736)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26748)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26749)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26751)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26752)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26754)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26763)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26764)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26766)/közepes;
- Improper Resource Locking (CVE-2024-26772)/közepes;
- Improper Resource Locking (CVE-2024-26773)/közepes;
- Divide By Zero (CVE-2024-26777)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26778)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26779)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26788)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26790)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26791)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26793)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26801)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-26804)/közepes;
- Use After Free (CVE-2024-26805)/közepes;
- Resource Leak (CVE-2024-26825)/közepes;
- Incomplete Cleanup (CVE-2024-26835)/közepes;
- Resource Leak (CVE-2024-26839)/közepes;
- Resource Leak (CVE-2024-26840)/közepes;
- Resource Injection (CVE-2024-26845)/közepes;
- Race Condition (CVE-2024-26910)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-27405)/súlyos;
- Missing Encryption Of Sensitive Data (CVE-2024-27410)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-27412)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-27413)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-27414)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-27416)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-27417)/közepes;
- Missing Encryption Of Sensitive Data (CVE-2024-35833)/közepes;
- Double Free (CVE-2024-35835)/közepes;
- Improper Locking (CVE-2024-39476)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens POWER METER SICAM Q100 (7KG9501-0AA01-0AA1) 2.60-tól 2.62-ig terjedő verziói (a 2.62 nem érintett);
- Siemens POWER METER SICAM Q100 (7KG9501-0AA01-2AA1) 2.60-tól 2.62-ig terjedő verziói (a 2.62 nem érintett);
- Siemens POWER METER SICAM Q100 (7KG9501-0AA31-0AA1) 2.60-tól 2.62-ig terjedő verziói (a 2.62 nem érintett);
- Siemens POWER METER SICAM Q100 (7KG9501-0AA31-2AA1) 2.60-tól 2.62-ig terjedő verziói (a 2.62 nem érintett);
- Siemens POWER METER SICAM Q200-as termékcsalád 2.70-tól 2.80-ig terjedő verziói (a 2.80 nem érintett);
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2025-40752)/közepes;
- Cleartext Storage of Sensitive Information (CVE-2025-40753)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- NULL Pointer Dereference (CVE-2024-24989)/súlyos;
- Use After Free (CVE-2024-24990)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-40766)/közepes;
- Execution with Unnecessary Privileges (CVE-2025-40767)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2025-40768)/súlyos;
- Irrelevant Code (CVE-2025-40769)/súlyos;
- Channel Accessible by Non-Endpoint (CVE-2025-40770)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMOTION SCOUT TIA V5.4 minden verziója;
- SINAMICS STARTER V5.6 minden verziója;
- SINAMICS STARTER V5.7 minden verziója;
- SIMOTION SCOUT TIA V5.5 minden verziója;
- SIMOTION SCOUT TIA V5.6 V5.6 SP1 HF7-nél korábbi verziói;
- SIMOTION SCOUT TIA V5.7 V5.7 SP1 HF1-nél korábbi verziói;
- SIMOTION SCOUT V5.4 minden verziója;
- SIMOTION SCOUT V5.5 minden verziója;
- SIMOTION SCOUT V5.6 V5.6 SP1 HF7-nél korábbi verziói;
- SIMOTION SCOUT V5.7 V5.7 SP1 HF1-nél korábbi verziói;
- SINAMICS STARTER V5.5 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2025-40584)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK 828D PPU.4 V4.95 SP5-nél korábbi verziói;
- SINUMERIK 828D PPU.5 V4.95 SP5-nél korábbi verziói;
- SINUMERIK 840D sl V4.95 SP5-nél korábbi verziói;
- SINUMERIK MC V1.25 SP1-nél korábbi verziói;
- SINUMERIK MC V1.15 V1.15 SP5-nél korábbi verziói;
- SINUMERIK ONE V6.25 SP1-nél korábbi verziói;
- SINUMERIK ONE V6.15 V6.15 SP5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-40743)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROX MX5000 minden verziója;
- RUGGEDCOM ROX RX1536 minden verziója;
- RUGGEDCOM ROX RX5000 minden verziója;
- RUGGEDCOM ROX MX5000RE minden verziója;
- RUGGEDCOM ROX RX1400 minden verziója;
- RUGGEDCOM ROX RX1500 minden verziója;
- RUGGEDCOM ROX RX1501 minden verziója;
- RUGGEDCOM ROX RX1510 minden verziója;
- RUGGEDCOM ROX RX1511 minden verziója;
- RUGGEDCOM ROX RX1512 minden verziója;
- RUGGEDCOM ROX RX1524 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-40761)/súlyos;
Javítás: Jelenleg nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- BFCClient 2.17-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2021-3711)/kritikus;
- Out-of-bounds Read (CVE-2021-3712)/súlyos;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Type Confusion (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.12.
Gyártó: Siemens
Érintett rendszer(ek):
- Automation License Manager V6.0 minden verziója;
- OpenPCS 7 V9.1 minden verziója;
- SIMATIC WinCC Runtime Professional minden verziója;
- SIMATIC WinCC Runtime Professional V20 minden verziója;
- SIMATIC WinCC TeleControl minden verziója;
- SIMATIC WinCC Unified Line Coordination minden verziója;
- SIMATIC WinCC Unified PC Runtime V18 minden verziója;
- SIMATIC WinCC Unified PC Runtime V19 minden verziója;
- SIMATIC WinCC Unified PC Runtime V20 minden verziója;
- SIMATIC WinCC Unified Sequence minden verziója;
- SIMATIC WinCC V7.5 minden verziója;
- SIMATIC WinCC V8.0 minden verziója;
- OpenPCS 7 V10.0 minden verziója;
- SIMATIC WinCC V8.1 V8.1 Update 3-nál korábbi verziói;
- SIMATIC WinCC Visualization Architect (SiVArc) V17 minden verziója;
- SIMATIC WinCC Visualization Architect (SiVArc) V18 minden verziója;
- SIMATIC WinCC Visualization Architect (SiVArc) V19 minden verziója;
- SIMATIC WinCC Visualization Architect (SiVArc) V20 minden verziója;
- SIMATIC D7-SYS minden verziója;
- SIMIATIC Rapid Tester minden verziója;
- SIMIATIC Simulation Platform minden verziója;
- SINAMICS Startdrive V17 minden verziója;
- SINAMICS Startdrive V18 minden verziója;
- Siemens Network Planner (SINETPLAN) minden verziója;
- SINAMICS Startdrive V19 minden verziója;
- SINAMICS Startdrive V20 minden verziója;
- SINEC NMS 4.0-nál korábbi verziói;
- SINEMA Remote Connect Client minden verziója;
- SITRANS minden verziója;
- Standard PID CTRL Tool minden verziója;
- TeleControl Server Basic V3.1 3.1.2.2-nél korábbi verziói;
- TIA Administrator 3.0.6-nál korábbi verziói;
- TIA Portal Cloud Connector minden verziója;
- TIA Portal Test Suite V17 minden verziója;
- SIMATIC Automation Tool minden verziója;
- TIA Portal Test Suite V18 minden verziója;
- TIA Portal Test Suite V19 minden verziója;
- TIA Portal Test Suite V20 minden verziója;
- TIA Project-Server minden verziója;
- TIA Project-Server V17 minden verziója;
- WinCC Panel Image Setup minden verziója;
- SIMATIC Automation Tool SDK Windows minden verziója;
- SIMATIC BATCH V9.1 minden verziója;
- SIMATIC BATCH V10.0 minden verziója;
- SIMATIC Control Function Library (CFL) V1.0.0 minden verziója;
- SIMATIC Control Function Library (CFL) V2.0 minden verziója;
- SIMATIC Control Function Library (CFL) V3.0 minden verziója;
- Automation License Manager V6.2 V6.2 Upd3-nál korábbi verziói;
- SIMATIC Control Function Library (CFL) V4.0 minden verziója;
- SIMATIC eaSie Core Package (6DL5424-0AX00-0AV8) minden verziója;
- SIMATIC eaSie Document Skills minden verziója;
- SIMATIC eaSie PCS 7 Skill Package (6DL5424-0BX00-0AV8) minden verziója;
- SIMATIC eaSie Workflow Skills minden verziója;
- SIMATIC Energy Suite V17 minden verziója;
- SIMATIC Energy Suite V18 minden verziója;
- SIMATIC Energy Suite V19 minden verziója;
- SIMATIC Logon V1.6 minden verziója;
- SIMATIC Logon V2.0 minden verziója;
- CEMAT V10.0 minden verziója;
- SIMATIC Management Agent minden verziója;
- SIMATIC Management Console minden verziója;
- SIMATIC MTP CREATOR V3.x minden verziója;
- SIMATIC MTP CREATOR V4.x minden verziója;
- SIMATIC MTP CREATOR V2.x minden verziója;
- SIMATIC MTP CREATOR V5.x minden verziója;
- SIMATIC MTP Integrator V1.x minden verziója;
- SIMATIC MTP Integrator V2.x minden verziója;
- SIMATIC NET PC Software V16 minden verziója;
- SIMATIC NET PC Software V17 minden verziója;
- CP PtP Param configuring interface minden verziója;
- SIMATIC NET PC Software V18 minden verziója;
- SIMATIC NET PC Software V19 minden verziója;
- SIMATIC NET PC Software V20 V20.0 Update 1-nél korábbi verziói;
- SIMATIC ODK 1500S minden verziója;
- SIMATIC PCS 7 Advanced Process Faceplates V9.1 minden verziója;
- SIMATIC PCS 7 Advanced Process Functions V2.1 minden verziója;
- SIMATIC PCS 7 Advanced Process Functions V2.2 minden verziója;
- SIMATIC PCS 7 Advanced Process Graphics V9.1 minden verziója;
- SIMATIC PCS 7 Advanced Process Graphics V10.0 minden verziója;
- SIMATIC PCS 7 Advanced Process Library incl. Faceplates V10.0 minden verziója;
- Create MyConfig (CMC) minden verziója;
- SIMATIC PCS 7 Advanced Process Library V9.1 minden verziója;
- SIMATIC PCS 7 Basis Faceplates V9.1 minden verziója;
- SIMATIC PCS 7 Basis Library V9.1 minden verziója;
- SIMATIC PCS 7 Basis Library V10.0 minden verziója;
- SIMATIC PCS 7 Industry Library V9.0 minden verziója;
- SIMATIC PCS 7 Industry Library V9.1 minden verziója;
- SIMATIC PCS 7 Industry Library V10.0 minden verziója;
- SIMATIC PCS 7 Logic Matrix V9.1 minden verziója;
- SIMATIC PCS 7 Logic Matrix V10.0 minden verziója;
- SIMATIC PCS 7 MPC Configurator minden verziója;
- Energy Support Library (EnSL) minden verziója;
- SIMATIC PCS 7 PowerControl minden verziója;
- SIMATIC PCS 7 Standard Chemical Library V9.1 minden verziója;
- SIMATIC PCS 7 Standard Chemical Library V10.0 minden verziója;
- SIMATIC PCS 7 TeleControl minden verziója;
- SIMATIC PCS 7 V9.1 minden verziója;
- SIMATIC PCS 7 V10.0 minden verziója;
- SIMATIC PCS 7/OPEN OS V9.1 minden verziója;
- SIMATIC PCS neo V5.0 minden verziója;
- SIMATIC PCS neo V6.0 V6.0 SP1-nél korábbi verziói;
- SIMATIC PDM Maintenance Station V5.0 minden verziója;
- FM Configuration Package minden verziója;
- SIMATIC PDM V9.2 minden verziója;
- SIMATIC PDM V9.3 minden verziója;
- SIMATIC Process Function Library (PFL) V4.0 minden verziója;
- SIMATIC Process Historian 2020 minden verziója;
- SIMATIC Process Historian 2022 minden verziója;
- SIMATIC Process Historian 2024 minden verziója;
- SIMATIC ProSave V17 minden verziója;
- SIMATIC ProSave V18 minden verziója;
- SIMATIC ProSave V19 V19 Update 4-nél korábbi verziói;
- SIMATIC ProSave V20 minden verziója;
- Modular PID CTRL Tool minden verziója;
- SIMATIC Route Control V9.1 minden verziója;
- SIMATIC Route Control V10.0 minden verziója;
- SIMATIC S7 F Systems V6.3 minden verziója;
- SIMATIC S7 F Systems V6.4 minden verziója;
- SIMATIC S7-1500 Software Controller V2 minden verziója;
- SIMATIC S7-1500 Software Controller V3 minden verziója;
- SIMATIC S7-Fail-safe Configuration Tool (S7-FCT) 4.0.1-nél korábbi verziói;
- SIMATIC S7-PCT minden verziója;
- SIMATIC S7-PLCSIM Advanced V7.0 Update 1-nél korábbi verziói;
- SIMATIC S7-PLCSIM V17 minden verziója;
- MultiFieldbus Configuration Tool (MFCT) minden verziója;
- SIMATIC S7-PLCSIM V18 minden verziója;
- SIMATIC S7-PLCSIM V19 minden verziója;
- SIMATIC S7-PLCSIM V20 V20 Update 1-nél korábbi verziói;
- SIMATIC Safety Matrix minden verziója;
- SIMATIC STEP 7 CFC V19 minden verziója;
- SIMATIC STEP 7 CFC V20 minden verziója;
- SIMATIC STEP 7 V5.7 minden verziója;
- SIMATIC Target minden verziója;
- SIMATIC WinCC flexible ES minden verziója;
- SIMATIC WinCC Runtime Advanced minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2025-30033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.08.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Viewpoint 14.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2025-7973)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-23

Bejelentés dátuma: 2025.08.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Linx 6.50-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Access Control (CVE-2025-7972)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-24

Bejelentés dátuma: 2025.08.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PLC Micro820 LC20 minden, V14.011-nél korábbi verziója;
- PLC Micro850 LC50 minden, V12.013-nál korábbi verziója;
- PLC Micro870 LC70 minden, V12.013-nál korábbi verziója;
- PLC Micro850 L50E V20.011-től V22.011-ig terjedő verziói;
- PLC Micro870 L70E V20.011-től V22.011-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Dependency on Vulnerable Third-Party Component (CVE-2023-48691)/kritikus;
- Dependency on Vulnerable Third-Party Component (CVE-2023-48692)/kritikus;
- Dependency on Vulnerable Third-Party Component (CVE-2023-48693)/kritikus;
- Improper Input Validation (CVE-2025-7693)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-25

Bejelentés dátuma: 2025.08.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FLEX 5000 I/O 5069-IF8 V2.011 verziója;
- FLEX 5000 I/O 5069-IY8 V2.011 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2025-7861)/súlyos;
- Improper Input Validation (CVE-2025-7862)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-26

Bejelentés dátuma: 2025.08.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 5032-CFGB16M12P5DR 1.011-es és korábbi verziói;
- 5032-CFGB16M12DR 1.011-es és korábbi verziói;
- 5032-CFGB16M12M12LDR 1.011-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2025-7773)/súlyos;
- Improper Authentication (CVE-2025-7774)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-27

Bejelentés dátuma: 2025.08.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1756-EN2T/D 11.004-es és korábbi verziói;
- 1756-EN2F/C 11.004-es és korábbi verziói;
- 1756-EN2TR/C 11.004-es és korábbi verziói;
- 1756-EN3TR/B 11.004-es és korábbi verziói;
- 1756-EN2TP/A 11.004-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Initialization of a Resource with an Insecure Default (CVE-2025-7353)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-226-28

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Szerdán este jelentek meg az első, szélesebb körben is elérhető hírek arról, hogy (a norvég rendvédelmi szervek szerint) orosz hátterű támadók jutottak be egy dél-norvégiai víztározó gátját vezérlő folyamatirányító rendszerbe és több, mint 7000 m3 vizet engedtek le a tározóból mintegy 4 óra alatt. A rendelkezésre álló információk szerint a támadók a rendszerben használt gyenge jelszót kihasználva szereztek hozzáférést a rendszerhez - ez pedig a rendelkezésre álló információk alapján nem is különbözik olyan nagyon a Sector16 által végrehajtott, Internetre gyenge jelszavakkal kilógatott kisebb magyar folyamatirányító rendszerek elleni támadási kampányától.

Egyetlen nappal később érkezett a hír a Reuters-en keresztül, hogy a lengyel illetékesek egy lengyel nagyváros vízellátó rendszere elleni kibertámadást hiúsítottak meg. Krzysztof Gawkowski, lengyel miniszterelnök-helyettes a konkrét esettel kapcsolatban ugyan nem mondott többet a támadókról, de korábban arról beszélt, hogy Lengyelország központi szerepe miatt, amit Ukrajnának nyújtanak az orosz agresszió elleni védekezés során, a NATO országok közül az egyik fő célpontjává váltak az orosz hátterű támadói csoportok kibertámadásainak.

Bár a lengyel incidensről nem állnak rendelkezésre részletek, a norvég víztározó elleni támadás ismét csak arra világít rá, hogy a legalapvetőbb ICS/OT biztonsági intézkedések elmaradása könnyen vezethet súlyos következményekkel járó incidensekhez, különösen a mostanihoz hasonló nemzetközi konfliktusokban és háborúkban "gazdag" időszakban.

Bejelentés dátuma: 2025.08.05.
Gyártó: Mitsubishi Electric Iconics Digital Solutions, Mitsubishi Electric
Érintett rendszer(ek):
- ICONICS Product Suite GENESIS64 minden verziója;
- ICONICS Product Suite GENESIS 11.00 verziója;
- Mitsubishi Electric MC Works64 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Windows Shortcut Following (.LNK) (CVE-2025-7376)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-217-01

Bejelentés dátuma: 2025.08.05.
Gyártó: Tigo Energy
Érintett rendszer(ek):
- Cloud Connect Advanced 4.0.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2025-7768)/kritikus;
- Command Injection (CVE-2025-7769)/súlyos;
- Predictable Seed in Pseudo-Random Number Generator (CVE-2025-7770)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-217-02

Bejelentés dátuma: 2025.08.07.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DIAView 4.2.0.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Limitation of a Pathname to a Restricted Directory (CVE-2025-53417)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-01

Bejelentés dátuma: 2025.08.07.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- FX80 FX 14.10.10-es verziója;
- FX80 FX 14.14.1-es verziója;
- FX90 FX 14.10.10-es verziója;
- FX90 FX 14.14.1-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Dependency on Vulnerable Third-Party Component (CVE-2025-43867)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-02

Bejelentés dátuma: 2025.08.07.
Gyártó: Burk Technology
Érintett rendszer(ek):
- ARC Solo v1.0.62-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-5095)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-03

Bejelentés dátuma: 2025.08.07.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Arena 16.20.09-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2025-7025)/súlyos;
- Stack-based Buffer Overflow (CVE-2025-7032)/súlyos;
- Heap-based Buffer Overflow (CVE-2025-7033)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-04

Bejelentés dátuma: 2025.08.07.
Gyártó: Packet Power
Érintett rendszer(ek):
- EMX 4.1.0-nél korábbi verziói;
- EG 4.1.0-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-8284)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-05

Bejelentés dátuma: 2025.08.07.
Gyártó: Dreame Technology
Érintett rendszer(ek):
- Dreamehome iOS app 2.3.4-es és korábbi verziói;
- Dreamehome Android app 2.1.8.8-as és korábbi verziói;
- MOVAhome iOS app 1.2.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Certificate Validation (CVE-2025-8393)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-06

Bejelentés dátuma: 2025.08.07.
Gyártó: EG4 Electronics
Érintett rendszer(ek):
- EG4 12kPV típusú inverterek minden verziója;
- EG4 18kPV típusú inverterek minden verziója;
- EG4 Flex 21 típusú inverterek minden verziója;
- EG4 Flex 18 típusú inverterek minden verziója;
- EG4 6000XP típusú inverterek minden verziója;
- EG4 12000XP típusú inverterek minden verziója;
- EG4 GridBoss típusú inverterek minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2025-52586)/közepes;
- Download of Code Without Integrity Check (CVE-2025-53520)/súlyos;
- Observable Discrepancy (CVE-2025-47872)/közepes;
- Improper Restriction of Excessive Authentication Attempts (CVE-2025-46414)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán, egy hibát pedig már javítottak.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-07

Bejelentés dátuma: 2025.08.07.
Gyártó: Yealink
Érintett rendszer(ek):
- SIP-T19P_E2 53.84.0.121-nél korábbi verziói;
- SIP-T21P_E2 52.84.0.121-nél korábbi verziói;
- SIP-T23G 44.84.0.121-nél korábbi verziói;
- SIP-T40G 76.84.0.121-nél korábbi verziói;
- SIP-T40P 54.84.0.121-nél korábbi verziói;
- SIP-T27G 69.84.0.121-nél korábbi verziói;
- SIP-T41S 66.84.0.121-nél korábbi verziói;
- SIP-T42S 66.84.0.121-nél korábbi verziói;
- SIP-T46S 66.84.0.121-nél korábbi verziói;
- SIP- T48S 66.84.0.121-nél korábbi verziói;
- SIP-CP920 78.84.0.121-nél korábbi verziói;
- SIP-T53 X.84.0.121-nél korábbi verziói;
- SIP-T53W X.84.0.121-nél korábbi verziói;
- SIP-T54W X.84.0.121-nél korábbi verziói;
- SIP-T57W X.84.0.121-nél korábbi verziói;
- SIP-T56A 58.84.0.37-nél korábbi verziói;
- SIP-T58 58.84.0.37-nél korábbi verziói;
- W52P 25.81.0.67-nél korábbi verziói;
- W60B 77.83.0.83-nál korábbi verziói;
- CP960 73.84.0.37-nél korábbi verziói;
- SIP-T27P 45.83.0.160-nál korábbi verziói;
- SIP-T29G 46.83.0.160-nál korábbi verziói;
- SIP-T41P 36.83.0.160-nál korábbi verziói;
- SIP-T42G 29.83.0.160-nál korábbi verziói;
- SIP-T46G 28.83.0.160-nál korábbi verziói;
- SIP-T48G 35.83.0.160-nál korábbi verziói;
- SIP-T20P minden verziója;
- SIP-T22P minden verziója;
- SIP-T26P minden verziója;
- SIP-T27P minden verziója;
- T52S minden verziója;
- T54S minden verziója;
- RPS (Redirect and Provisioning Service) minden, 05-26-2025-nél korábbi build-je.
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2025-52916)/alacsony;
- Allocation of Resources Without Limits or Throttling (CVE-2025-52917)/közepes;
- Incorrect Authorization (CVE-2025-52918)/közepes;
- Improper Certificate Validation (CVE-2025-52919)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-08

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Kb. a Stuxnet-ről megjelent első publikus hírek (majd az fél-egy évvel később megjelent első alaposabb szakmai elemzések) óta szeretnek a különféle előadásokban (leginkább a hozzám hasonlóan IT irányból érkező előadók) "SCADA biztonságról" és "ipari rendszerek biztonságáról" beszélni, látszólag megfeleldkezve arról, hogy a folyamatirányítási rendszerek esetén az Advanced Process Control (APC) rendszerek, vagyis a SCADA és DCS rendszerek csak a jéghegy csúcsát képezik és ezek a rendszerek nem lennének képesek semmilyen felügyeleti vagy irányítási funkciót betölteni a folyamatirányítási mérnökök által gyakran csak Basic Process Control rendszerek gyűjtőnéven emlegetett berendezések nélkül. Ezeket szokás terepi eszközöknek vagy berendezéseknek is nevezni. A mai poszt ezeknek a terepi eszközöknek a biztonsági kérdéseit fogja kicsit körüljárni.

ICS/OT kiberbiztonsági szempontból a terepi ICS berendezéseket szokás egy komplett rémálomnak tekinteni, amolyan ketyegő időzített bombáknak, amiknél csak egy kérdés van: mikor robbannak? Hiányzó firmware-frissítések, elavult, rég nem karbantartott operációs rendszer és szoftver-komponens verziók, súlyos fizikai és logikai biztonsági kitettségek jellemzik őket. A kérdés csak az, valóban ezek a legfontosabb, kezelésre váró kockázatok a terepi ICS berendezések esetén?

Sinclair Koelemij nemrég publikált cikkében ezt a témát járja körül, több szempontból is, ráadásul a veterán folyamatirányítási mérnök szemével vizsgálva a terepi ICS berendezések kiberbiztonsági kockázatait. Cikkében Sinclair külön kitér a szabályozói szempontok vizsgálatára, az USA-ban mostanában folyó FERC/NERC egyeztetésekre, amiknek fő témája az, hogy a folyamatirányításban használt szenzorokra kell-e vonatkoznia a NERC CIP szabványcsalád kiber-komponensekre előírt követelményeinek?

A cikk első nagyobb fejezete a kitettség megértését boncolgatja, külön-külön bemutatva a támadási felületeket, a támadási távolságot (a támadó fizikai és logikai távolságát a célba vett terepi eszköztől), a terepi eszközk irányítási távolságát (a berendezés mennyire van közel a fizikai folyamat irányításától).

A második fejezet a terepi eszközök folyamatirányítási architektúrában történő azonosításával és kezelésével foglalkozik, a harmadik fejezetben pedig Sinclair a terepi eszközök biztonsági prioritásainak kiértékelésével kapcsolatos gondolatait foglalja össze.

Bejelentés dátuma: 2025.07.18.
Gyártó: Helmholz
Érintett rendszer(ek):
- REX 100-as típusú ipari router-ek 2.3.3-nál korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-41675)/súlyos;
- OS Command Injection (CVE-2025-41674)/súlyos;
- OS Command Injection (CVE-2025-41673)/súlyos;
- SQL Injection (CVE-2025-41678)/közepes;
- Out-of-bounds Write (CVE-2025-41679)/közepes;
- Uncontrolled Resource Consumption (CVE-2025-41677)/közepes;
- Uncontrolled Resource Consumption (CVE-2025-41676)/közepes;
- Cross-site Scripting (CVE-2025-41681)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/de/advisories/VDE-2025-059/

Bejelentés dátuma: 2025.07.29.
Gyártó: National Instruments
Érintett rendszer(ek):
- LabVIEW 2025 Q1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2025-2633)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2025-2634)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-210-01

Bejelentés dátuma: 2025.07.29.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- DTN Soft 2.1.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2025-53416)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-210-03

Bejelentés dátuma: 2025.07.29.
Gyártó: Samsung
Érintett rendszer(ek):
- Samsung HVAC DMS 2.0.0-tól 2.3.13.0-ig, 2.5.0.17-től 2.6.14.0-ig és 2.7.0.15-től 2.9.3.5-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Execution After Redirect (EAR) (CVE-2025-53077)/közepes;
- Deserialization of Untrusted Data (CVE-2025-53078)/súlyos;
- Absolute Path Traversal (CVE-2025-53079)/közepes;
- Path Traversal (CVE-2025-53080)/súlyos;
- Path Traversal (CVE-2025-53081)/súlyos;
- Relative Path Traversal (CVE-2025-53082)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-210-02

Bejelentés dátuma: 2025.07.31.
Gyártó: Güralp Systems
Érintett rendszer(ek):
- Güralp FMUS sorozatú szeizmikus monitoring berendezések minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-8286)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-212-01

Bejelentés dátuma: 2025.07.31.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- VMware-rel használt Industrial Data Center (IDC) 1–4. generációi;
- VMware-rel használt VersaVirtual Appliance (VVA) A és B sorozatai;
- VMware-rel használt Threat Detection Managed Services (TDMS) minden verziója;
- VMware-rel és Rockwell Automation Proxy-val használt Endpoint Protection Service minden verziója;
- VMware-rel használt Engineered and Integrated Solutions minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2025-41236)/kritikus;
- Out-of-bounds Write (CVE-2025-41237)/kritikus;
- Out-of-bounds Write (CVE-2025-41238)/kritikus;
- Use of Uninitialized Resource (CVE-2025-41239)/súlyos;
Javítás: A gyártó keresni fogja a hibával kapcsolatban az aktív támogatási szerződéssel rendelkező ügyfeleit.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-212-02

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A naperőművek az elmúlt alig több, mint egy évtized alatt a műszaki érdekességből a villamosenergia-rendszerek meghatározó termelési módjává nőtték ki magukat, különösen az Európai Unió és az USA területén. A különböző méretű (háztartási méretű kiserőművek - HMKE, létesítményi szintű naperőművek és az ipari méretű naperőművek) fotovoltaikus vagy naperőművek egy-egy országban ma már gyakran nagyobb atomerőművekét is meghaladó termelési kapacitást jelenthetnek.

A (kiberbiztonsági) probléma a naperőművekkel leginkább az, hogy a legkisebb (néhány kWh-s) HMKE rendszerek ugyanolyan inverterekből építve működnek, mint az ipari méretű (több 100 kWh-tól akár 40-50 MWh-ig terjedő termelési kapacitású) erőművek. Ez azt is jelenti, hogy az inverterek sérülékenységei is ugyanazok lehetnek - ez pedig jó néhány kiberbiztonsági kutató fantáziáját megmozgatta már. Nemrég a Forescout nevű biztonsági cég végzett egy kutatást a témában, aminek során három gyártó (Sungrow, SMA és Growatt) egyes rendszereit tesztelték. A vizsgálatok eredményeként 46 új sérülékenységet fedeztek fel a három gyártó rendszereiben, további 93 ismert sérülékenységet katalogizáltak. A sérülékenységek 80%-a magas vagy kritikus kockázati besorolású (a CVSSv3 alapján), 32%-uk pedig (szintén a CVSSv3 szerint) 9,8-10,0 pontszámot kapott.

A kutatásról készült publikáció a Forescout weboldalán érhető el: https://www.forescout.com/resources/sun-down-research-report/

Bejelentés dátuma: 2025.07.23.
Gyártó: ABB
Érintett rendszer(ek):
- AC500 V2 PLC-k 2.5.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Modbus TCP buffer overread (CVE-2025-7745)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.07.22.
Gyártó: DuraComm Corporation
Érintett rendszer(ek):
- SPM-500 DP-10iN-100-MU 4.10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2025-41425)/súlyos;
- Missing Authentication for a Critical Function (CVE-2025-48733)/súlyos;
- Improper Neutralization of Input During Web Page Generation (CVE-2025-53703)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-01

Bejelentés dátuma: 2025.07.22.
Gyártó: Lantronix
Érintett rendszer(ek):
- Provisioning Manager 7.10.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2025-7766)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-02

Bejelentés dátuma: 2025.07.22.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Monitoring Expert (PME) 2023-as verziója;
- EcoStruxure Power Monitoring Expert (PME) 2023 R2 verziója;
- EcoStruxure Power Monitoring Expert (PME) 2024-es verziója;
- EcoStruxure Power Monitoring Expert (PME) 2024 R2 verziója;
- EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module 2022-es verziója;
- EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module 2024-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2025-6788)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-03

Bejelentés dátuma: 2025.07.22.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Operation (EPO) 2022 CU6-os és korábbi verziói;
- EcoStruxure Power Operation (EPO) 2024 CU1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Eval Injection (CVE-2023-50447)/súlyos;
- Integer Overflow to Buffer Overflow (CVE-2024-28219)/közepes;
- Data Amplification (CVE-2022-45198)/súlyos;
- Out-of-bounds Write (CVE-2023-5217)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-35945)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-04

Bejelentés dátuma: 2025.07.22.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Harmony Industrial PC sorozat System Monitor alkalmazásának minden verziója;
- Pro-face Industrial PC sorozat System Monitor alkalmazásának minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2020-11023)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-05

Bejelentés dátuma: 2025.07.22.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure IT Data Center Expert v8.3-as és korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-50121)/kritikus;
- Insufficient Entropy (CVE-2025-50122)/súlyos;
- Code Injection (CVE-2025-50123)/súlyos;
- Server-Side Request Forgery (SSRF) (CVE-2025-50125)/súlyos;
- Improper Privilege Management (CVE-2025-50124)/közepes;
- Improper Restriction of XML External Entity Reference (CVE-2025-6438)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-06

Bejelentés dátuma: 2025.07.24.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- NC Designer2 minden verziója;
- NC Designer minden verziója;
- NC Configurator2 minden verziója;
- NC Analyzer2 minden verziója;
- NC Analyzer minden verziója;
- NC Explorer minden verziója;
- NC Monitor2 minden verziója;
- NC Monitor minden verziója;
- NC Trainer2 AB és korábbi verziói;
- NC Trainer2 plus AB és korábbi verziói;
- NC Trainer minden verziója;
- NC Trainer plus minden verziója;
- NC Visualizer minden verziója;
- Remote Monitor Tool minden verziója;
- MS Configurator minden verziója;
- Mitsubishi Electric Numerical Control Device Communication Software (FCSB1224) minden verziója;
- Mitsubishi Electric CNC communication software runtime library M70LC/M730LC minden verziója;
- NC Virtual Simulator minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-01

Bejelentés dátuma: 2025.07.2x.
Gyártó: Network Thermostat
Érintett rendszer(ek):
- X-sorozatú WiFi termosztátok v4.5-től v4.6-ig terjedő verziói (a v4.6 nem érintett);
- X-sorozatú WiFi termosztátok v9.6-ig terjedő verziói (a v9.46 nem érintett);
- X-sorozatú WiFi termosztátok v10.1-től v10.29-ig terjedő verziói (a v10.29 nem érintett);
- X-sorozatú WiFi termosztátok v11.1-től v11.5-ig terjedő verziói (a v11.5 nem érintett);
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-6260)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-02

Bejelentés dátuma: 2025.07.24.
Gyártó: Honeywell
Érintett rendszer(ek):
- Experion PKS minden, R520.2 TCU9 Hot Fix 1-nél korábbi verziója;
- Experion PKS minden, R530 TCU3 Hot Fix 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Uninitialized Variable (CVE-2025-2520)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2025-2521)/súlyos;
- Sensitive Information in Resource Not Removed Before Reuse (CVE-2025-2522)/közepes;
- Integer Underflow (Wrap or Wraparound) (CVE-2025-2523)/kritikus;
- Deployment of Wrong Handler (CVE-2025-3946)/súlyos;
- Integer Underflow (Wrap or Wraparound) (CVE-2025-3947)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-03

Bejelentés dátuma: 2025.07.24.
Gyártó: LG Innotek
Érintett rendszer(ek):
- LNV5110R minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-7742)/súlyos;
Javítás: Nincs, az érintett rendszer elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-04

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ahogy egy inkább terjednek a különbőző méretű akkumulátor-telepek a világ villamosenergia-rendszereiben, egyre gyakrabban merülnek fel a kiberbiztonsági kérdések is a témával kapcsolatban. Nemrég egy kifejezetten hosszú és alapos cikket találtam Sinclair Koelemij tollából, amiben végigveszi az akkumulátoros villamosenergia-tárolók kiber-fizikai kockázatait.

A cikk azonban ennél többről is szól: Sinclair bemutatja az akkumulátoros villamosenergia-tárolás (Battery Energy Storage System) múltját (2019-től indítva), jelenét és jövőjét 2030-ig kitekintve, az akkumulátorok méretein át odáig, hogy milyen különbségek vannak a Front-of-the-Meter (FTM) és Behind-the-Meter (BTM) BESS rendszerek között. Szóba kerülnek ezek mellett az AC-Block és DC-Block kategóriájú BESS rendszerek.

Külön fejezet szól az akkumulátorok vezérlésére használt BMS (Battery Management Systems - ez egyébként az OT-ban is egyre komolyabb félreértésekre lehetőséget adó jelenség, hogy egy-egy rövidítésnek, kontextustól függően különböző jelentései is lehetnek, erre kiváló példa a BMS, ami lehet Battery Management System vagy Building Management System is) rendszerekről, ahol szóba kerül az is, hogy a Battery Management System-ek jellemzően nem egyetlen rendszerből állnak, hanem több BMS rendszerből álló hierarchikus rendszerek, amiben minden rendszer különböző szinten monitorozzák és vezérlik az akkumulátor-telepet.

Sinclair cikkében beszél a State of Charge (SoC) és State of Health (SoH) BMS-paraméterekről, ahol a SoC az akkumulátorban rendelkezésre álló energia-mennyiséget mutatja, a SoH pedig azt, hogy százalékban kifejezve mennyire van jó állapotban az akkumulátor (100% az új, 0% pedig teljesen elhasználódott akkumulátor esetén). Ráadásul a 20% körüli SoH mutatójú akkumulátor nem csak, hogy gyakorlatilag a használhatatlan kategóriát jelenti, de figyelembe kell venni azt is, hogy az ilyen szinten degradálódott akkumulátorok gyorsabban merülnek le és több hőt termelnek, ami növeli az ilyen berendezések safety kockázatait is.

A lítium-ion akkumulátorok esetén a hőmérséklet egyébként is kritikus tényező lehet, ezért a BMS rendszerek folyamatosan monitorozzák egyebek mellett a feszültség-, hőmérséklet- és SoC-paramétereket. Ezeket a monitoring-funkciókat illetve az SoH és SoC értékeket kalkuláló algoritmusokat célzó kibertámadások nagyon komoly incidensekhez vezethetnek. Éppen emiatt a BMS rendszerek távoli hozzáférését (ma már talán kijelenthetjük, nem meglepő módon)nagyon szigorúan kell szabályozni és védeni. Ahogy szintén megszokhattuk más folyamatirányító rendszereknél a karbantartási célú távoli, adminisztratív jogosultsági szintű hozzáférések biztosítása alapvető fontosságú a BMS rendszerek és akkumulátorok üzemszerű múködésének biztosításához, mivel ezek a kapcsolatok jelentős kockázatnövekedést okozhatnak, nagyon körültekintően kell keresni azt az egyensúlyi pontot, ahol az üzembiztonsági szempontok és a BESS és BMS rendszerek kiberbiztonsági szempontjai egyaránt a megfelelő súllyal érvényesülnek.

A cikk további részeiben szóba kerül még a SCADA/DCS és a BESS/BMS rendszerek közötti kommunikáció alapvető protokolljai és ami talán még fontosabb, egyes BESS rendszerekben egyes hírek szerint megtalálható backdoor-ok, kártékony firmware-verziók vagy nem engedélyezett távoli hozzáférési lehetőségek. Ami ennél biztosabb, hogy számos kínai BESS-megoldás alapértelmezett gyártói felhő-integrációval érkezik, ami nem csak az adatok kezelése miatt lehet aggályos, hanem súlyosan negatív hatással lehet a villamosenergia-rendszer stabilitására illetve a kapcsolódó rendszerek (üzemi erőművek, más ipari automatizálási hálózatok) esetén elsődleges behatolási pontként szolgálhatnak.

Sinclair szerint a legvalószínűbb, hozzáféréssel kapcsolatos kockázatok a BESS rendszerek esetén az alábbiak:

- Karbantartáshoz használt interfészek elleni támadások;
- SCADA/DCS interfészek elleni támadások;
- Távoli hozzáférési megoldások sérülékenységeinek kihasználása;
- Laterális támadások a folyamatirányító rendszerek hálózatában;

Adatintegritás elleni támadások kockázatai:

- Senzorok által kiolvasott adatok manipulálása (Emlékszünk ugye a Stuxnet által használt módszerre, ugye? Persze tudom, erről még illene írnom egy alaposabb összefoglaló posztot.);
- Vezérlési utasítások manipulása;
- Védelmi paraméterek manipulálása;

Rendelkezésre állási kockázatok:
- BESS töltési vagy kisütési folyamatainak megzavarása;
- BESS komponensek közötti kommunikáció megzavarása;
- A BESS folyamatirányítási hálózata elleni DoS-támadások;

Ellátási-lánc kockázatok
- Gyárilag telepített backdoor-ok és kártékony firmware-ek;
- Függőségek felhős megoldásoktól és felhőn keresztüli adat-letöltések kockázatai;
- Egyidejű, koordinált támadások kockázatai több BESS-rendszer ellen;

A cikkben számos további potenciális manipulációs lehetőségről és azok következményeiről is lehet olvasni a Battery Management System-ek, az Energy Storage Management System-ek, a BESS-t töltő nap- és/vagy szélerőművek miatt szükséges Power Conversion System-ek kapcsán is: https://www.linkedin.com/pulse/bess-cyber-physical-risk-sinclair-koelemij-mypje/

Bejelentés dátuma: 2025.07.15
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Asset Suite AnyWhere for Inventory (AWI) Android mobile app 11.5-ös és korábbi verziói;
- Asset Suite 9 sorozat 9.6.4.4-es verziója;
- Asset Suite 9 sorozat 9.7-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incomplete List of Disallowed Inputs (CVE-2025-1484)/közepes;
- Plaintext Storage of a Password (CVE-2025-2500)/súlyos;
- Out-of-bounds Write (CVE-2019-9262)/súlyos;
- Out-of-bounds Write (CVE-2019-9429)/súlyos;
- Out-of-bounds Write (CVE-2019-9256)/súlyos;
- Release of Invalid Pointer or Reference (CVE-2019-9290)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-196-01

Bejelentés dátuma: 2025.07.15.
Gyártó: ABB
Érintett rendszer(ek):
- RMC-100 2105457-043-tól 2105457-045-ig terjedő verziói;
- RMC-100 LITE 2106229-015-től 2106229-016-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2025-6074)/közepes;
- Stack-based Buffer Overflow (CVE-2025-6073)/súlyos;
- Stack-based Buffer Overflow (CVE-2025-6072)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2025-6071)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-196-02

Bejelentés dátuma: 2025.07.15.
Gyártó: LITEON
Érintett rendszer(ek):
- LITEON IC48A 01.00.19r-nél korábbi firmware-verziói;
- LITEON IC80A 01.01.12e-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Plaintext Storage of a Password (CVE-2025-7357)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-196-03

Bejelentés dátuma: 2025.07.17.
Gyártó: Leviton
Érintett rendszer(ek):
- AcquiSuite A8810-es verziója;
- Energy Monitoring Hub A8812-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-6185)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-198-01

Bejelentés dátuma: 2025.07.
Gyártó: Panoramic Corporation
Érintett rendszer(ek):
- Digital Imaging Software 9.1.2.7600-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2024-22774)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-198-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.