Ez a poszt eredetileg csak későbbre volt ütemezve, de látva, hogy egész érdekes beszélgetés kerekedett itt-ott a múlt heti, ICS/OT patch-elésről szóló posztról, úgy döntöttem, hogy érdemes előrébb hozni ez a mai írást. Főleg, mert szinte azonnal felmerült egy kérdés, ami persze várható volt: "Mégis mit tegyünk, ha valamilyen ok miatt nem patch-elhetünk?"

Ezzel kapcsolatban a Tripwire oldalán találtam egy cikket, ami persze magát a cég szolgáltatásait hivatott promózni, de ettől függetlenül is tartalmaz értékelhető gondolatokat a témában.

A bevezetőben a patch-elés előnyeit és kockázatait tekintik át, majd az IT és OT biztonsági szempontok közötti különbségeket (CIA kontra AIC háromszögek) mutatják be. A lényegi rész ezután következik, 6 kompenzáló intézkedést mutatnak be, mint a nem megvalósítható patch-elés alternatíváit:

- Eszköz-felderítés és menedzsment;
- Határvédelem;
- Hálózatszegmentálás;
- Naplómenedzsment;
- Sérülékenység-elemzés;
- Fájl-integritás monitoring;

Ezeknek az intézkedéseknek egy jelentős részét ma már a legalapvetőbb ICS/OT biztonsági program keretében a legtöbb ipari szervezet/kritikus infrastruktúra remélhetőleg már megvalósította és gyakorolja, ez a cikk inkább azt próbálja bemutatni, hogy milyen további előnyei lehetnek ezeknek a biztonsági kontroll-rendszereknek.

Bejelentés dátuma: 2023.12.21.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GT SoftGOT2000 1.275M-től 1.290C-ig terjedő verziói;
- OPC UA adatgyűjtő SW1DND-DCOPCUA-M és SW1DND-DCOPCUA-MD moduljainak 1.04E és korábbi verziói;
- MX OPC Server UA szoftver MC Works64-el együtt használt verziói SW4DND-MCWDV-MT moduljainak 3.05F és későbbi verziói;
- OPC UA szerverek RD81OPC96 moduljának minden verziója;
- FX5-OPC 1.006-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Observable Timing Discrepancy (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/súlyos;
- Type Confusion (CVE-2023-0286)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Mitsubishi Electric, ICS-CERT

Bejelentés dátuma: 2024.01.04.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Factory Talk V4.00 verziója (a Wibu-Systems CodeMeter 7.60c-nél korábbi verzióit használó változat);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-Bounds Write (CVE-2023-38545)/kritikus;
- Out-of-Bounds Write (CVE-2023-3935)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-004-01

Bejelentés dátuma: 2024.01.05.
Gyártó: Moxa
Érintett rendszer(ek):
- PT-G503 sorozatú eszközök 5.2-es és korábbi firmware-verziói;
- PT-7728 sorozatú eszközök 3.8-as és korábbi firmware-verziói;
- PT-7828 sorozatú eszközök 3.10-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2005-4900)/közepes;
- Cross-site Scripting (CVE-2015-9251)/közepes;
- Prototype Pollution (CVE-2019-11358)/közepes;
- Cross-site Scripting (CVE-2020-11022)/közepes;
- Cross-site Scripting (CVE-2020-11023)/közepes;
- Sensitive Cookie Without 'HttpOnly' Flag (CVE-2023-4217)/közepes;
- Sensitive Cookie in HTTPS Session Without 'Secure' Attribute (CVE-2023-5035)/közepes;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.01.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy Studio v9.3.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of untrusted data (CVE-2023-7032)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Évről-évre egyre több sérülékenységről jelennek meg információk és ez a probléma már régóta nem csak az IT rendszerek sajátja (nehéz is lenne, ha figyelembe vesszük, hogy az ICS/OT rendszerek egyre nagyobb hányada használ OT komponenseket). Ha pedig egyre több a sérülékenység, akkor érthető módon jelenik meg az igény ezeknek a hibáknak a javítására (ha rendelkezésre áll a javítás az adott hibára) vagyis a patch-elésre. A kérdés csak az, hogyan csináljuk?

Kézenfekvő lenne a válasz, hogy kérjünk karbantartási ablakot az adott rendszer üzemeltetőitől/felelősétől, telepítsük a patch-eket. Ez - legalább is azok számára, akik IT rendszereken tanulták ki a sérülékenység-menedzsmentet - egyértelműnek tűnik, de ICS/OT rendszerek esetén ugyanez a tevékenység több részleten is elbukhat, ilyenek, a teljesség igénye nélkül:

• Nincs fejlesztői/teszt rendszer;
• A következő fél-egy évben nincs betervezett karbantartás, így karbantartási ablak sem;
• Az ICS/OT rendszer gyártója (még) nem vizsgálta be az adott hibát javító patch-et, ezért annak a telepítése súlyos negatív következményekkel (üzembiztonsági kockázat, safety kockázat, funkcióvesztés, garanciavesztés, stb.) járhat;

Részben ezek miatt érdemes a (bármilyen) folyamatvezérlő rendszereket üzemeltető szervezeteknek egy külön, OT rendszerekre vonatkozó sérülékenység-menedzsment eljárást kidolgozniuk, begyakorolniuk és alkalmazniuk. Egy ilyen eljárás jellemzően az alábbi lépésekből állhat (ezek egy jó része ismerős lehet egy jobb IT sérülékenység-menedzsment eljárásból):

1. Folyamatosan kövessük nyomon, hogy milyen ICS/OT sérülékenységekről jelennek meg információk (ehhez figyelhetjük a mi szervezetünk által használt OT rendszerek gyártóinak közleményeit és például az ICS-CERT publikációit is);
2. Vizsgáljuk meg, hogy egy adott ICS/OT sérülékenység érinti-e a szervezetünk által használt ICS/OT rendszereket (ehhez mondjuk nem árt egy naprakész eszközleltárral rendelkezni, de tapasztalataim szerint egy ilyen kialakítani és folyamatosan frissíteni egy meglehetősen komoly kihívásnak minősül szinte minden szervezet számára...);
3. Ha a sérülékenység jelen van az ICS/OT rendszereinkben, akkor következhet a kockázatelemzés. Az elemzés során több kérdésre érdemes választ keresni, ilyenek lehetnek egyebek mellett:

• Melyik rendszer(ek) érintett(ek)?
• Mikor működnek az érintett rendszerek éles üzemben?
• Léteznek-e és elérhetőek-e kompenzáló/alternatív kontrollok a sérülékenység okozta kockázatok csökkentésére?
• A sérülékenység hatására nőnek-e az ICS/OT rendszerekkel kapcsolatba kerülő emberek életét és/vagy testi épségét (safety) fenyegető kockázatok?
• Milyen következményei lehetnek, ha valaki kihasználja az adott sérülékenységet;

Fontos, hogy egy ICS/OT kockázatelemzés lefolytatásához minden érintett szakembert vonjunk be, mert csak úgy fogunk pontos kockázati eredményeket kapni, ha mindenkit (pl. OT mérnököket mindenképp) bevonunk az elemzésbe, akik a különböző szakterületeket és különböző nézőpontokat, szempontokat, prioritásokat megfelelően képviselni tudják.

A kockázatelemzés végén, a pontos kockázatokat ismerve és az adott ICS/OT rendszer (és az általa automatizált folyamatok) felelősével, mint az elemzés során vizsgált kockázatokat viselő felelős vezetőkkel egyeztetve válaszokat kell találni a következő kérdésekre:

• Szükséges-e változtatásokat tervezni a sérülékenység javítása érdekében?
• Ha szükséges, milyen gyorsan kell ezt megtenni?

Amint megvannak a válaszaink a fenti kérdésekre, lehet tervezni a további lépéseket.

Azt hiszem, a fentiekből is látszik, hogy az IT-OT konvergencia fejlődésével az olyan feladatok terén, mint az ICS/OT sérülékenység-menedzsment is egyre több hasonlóságot lehet felfedezni az IT és OT rendszerek között, ugyanakkor a különbségek ezek ellenére sem tűnnek el és ezeket a különségeket nem szabad sem figyelmen kívül hagyni, sem a fontosságukat kisebbíteni, különben nagyon komoly (esetenként akár safety) kockázatokat okozhat egy teljesen jóindulatú, de nem kellően körültekintően kezdeményezett változtatás. Emlékezzünk Joe Weiss egyik fontos gondolatára: attól, hogy egy incidens kiváltó oka egy nem rosszindulatú változtatás volt, attól az még incidens!

Bejelentés dátuma: 2023.12.23.
Gyártó: Moxa
Érintett rendszer(ek):
- Moxa ioLogik E1200 sorozatú eszközök v3.3-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2023-5961)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2023-5962)/közepes;
Javítás: Elérhető a Moxa Technical Support-nál.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2023.12.29.
Gyártó: Moxa
Érintett rendszer(ek):
- OnCell G3150A-LTE sorozatú eszközök v1.3-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cryptographic Issues (CVE-2004-2761)/n/a;
- Inadequate Encryption Strength (CVE-2013-2566)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2016-2183)/súlyos;
- Clickjacking (CVE-2023-6093)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2023-6094)/közepes;
Javítás: Elérhető a Moxa Technical Support-nál.
Link a publikációhoz: Moxa

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ISA/IEC-62443-3-3 bemutatása

https://icscybersec.blog.hu/2023/10/14/ics-biztonsagi-szabvanyok-xviii

után most következzen a 4-2.

A 4-2 az ipari automatizálási és vezérlő rendszerek (Industrial Automation and Control Systems, IACS) komponenseivel kapcsolatos műszaki-biztonsági követelményeket tartalmazza.A komponensek ebben az esetben egyaránt fedik az IACS-kategóriába tartozó szoftveralkalmazásokkal, beágyazott eszközökkel, hostokkal és hálózati eszközökkel kapcsolatos követelményeket. A 4-2-ben leírt követelmények az előzőekben felsorolt 4 komponens-típus esetén azonosak, ahol a komponens-típus alapján különbséget kell tenni a típusokra vonatkozó követelmények között.

A 3-3-hoz hasonlóan a 4-2 is 4 biztonsági szintbe (Security Level, SL-1-től SL-4-ig) sorolja az egyes IACS komponenseket annak érdekében, hogy a különböző biztonsági szintekhez esetenként eltérő követelményeket lehessen társítani és szintén a 3-3-hoz hasonlóan az 1-1-es részben ismertetett funkcionális követelmények (FR, Functional Requirements) részletes követelményeit ismerteti. Az CR fejezet és alfejezt után az RE a követelmény kifejtését (Requirement enhancement) tartalmazza, a fent ismertetett SL-szinteknek megfelelően, az alábbiak szerint:

FR 1 – Identification and authentication control

CR 1.1 – Human user identification and authentication
CR 1.2 – Software process and device identification and authentication
CR 1.3 – Account management
CR 1.4 – Identifier management
CR 1.5 – Authenticator management
CR 1.6 – Wireless access management
CR 1.7 – Strength of password-based authentication
CR 1.8 – Public key infrastructure certificates
CR 1.9 – Strength of public key-based authentication
CR 1.10 – Authenticator feedback
CR 1.11 – Unsuccessful login attempts
CR 1.12 – System use notification
CR 1.13 – Access via untrusted networks

FR 2 – Use control

CR 2.1 – Authorization enforcement
CR 2.2 – Wireless use control
CR 2.3 – Use control for portable and mobile devices
CR 2.4 – Mobile code
CR 2.5 – Session lock
CR 2.6 – Remote session termination
CR 2.7 – Concurrent session control
CR 2.8 – Auditable events
CR 2.9 – Audit storage capacity
CR 2.10 – Response to audit processing failures
CR 2.11 – Timestamps
CR 2.12 – Non-repudiation
CR 2.13 – Use of physical diagnostic and test interfaces

FR 3 – System integrity

CR 3.1 – Communication integrity
CR 3.2 – Protection from malicious code
CR 3.3 – Security functionality verification
CR 3.4 – Software and information integrity
CR 3.5 – Input validation
CR 3.6 – Deterministic output
CR 3.7 – Error handling
CR 3.8 – Session integrity
CR 3.9 – Protection of audit information
CR 3.10 – Support for updates
CR 3.11 – Physical tamper resistance and detection
CR 3.12 – Provisioning product supplier roots of trust
CR 3.13 – Provisioning asset owner roots of trust
CR 3.14 – Integrity of the boot process

FR 4 – Data confidentiality

CR 4.1 – Information confidentiality
CR 4.2 – Information persistence
CR 4.3 – Use of cryptography

FR 5 – Restricted data flow

CR 5.1 – Network segmentation
CR 5.2 – Zone boundary protection
CR 5.3 – General-purpose person-to-person communication restrictions
CR 5.4 – Application partitioning

FR 6 – Timely response to events

CR 6.1 – Audit log accessibility
CR 6.2 – Continuous monitoring

FR 7 – Resource availability

CR 7.1 – Denial of service protection
CR 7.2 – Resource management
CR 7.3 – Control system backup
CR 7.4 – Control system recovery and reconstitution
CR 7.5 – Emergency power
CR 7.6 – Network and security configuration settings
CR 7.7 – Least functionality
CR 7.8 – Control system component inventory

Ahogy korábban már szóba került, a 4 IACS-típushoz külön-külön is tartozhatnak komponens-szintű biztonsági követelmények:

Software application requirements

SAR 2.4 – Mobile code
SAR 3.2 – Protection from malicious code

Embedded device requirements

EDR 2.4 – Mobile code
EDR 2.13 – Use of physical diagnostic and test interfaces
EDR 3.2 – Protection from malicious code
EDR 3.10 – Support for updates
EDR 3.11 – Physical tamper resistance and detection
EDR 3.12 – Provisioning product supplier roots of trust
EDR 3.13 – Provisioning asset owner roots of trust
EDR 3.14 – Integrity of the boot process

Host device requirements

HDR 2.4 – Mobile code
HDR 2.13 – Use of physical diagnostic and test interfaces
HDR 3.2 – Protection from malicious code
HDR 3.10 – Support for updates
HDR 3.11 – Physical tamper resistance and detection
HDR 3.12 – Provisioning product supplier roots of trust
HDR 3.13 – Provisioning asset owner roots of trust
HDR 3.14 – Integrity of the boot process

Network device requirements

NDR 1.6 – Wireless access management
NDR 1.13 – Access via untrusted networks
NDR 2.4 – Mobile code
NDR 2.13 – Use of physical diagnostic and test interfaces
NDR 3.2 – Protection from malicious code
NDR 3.10 – Support for updates
NDR 3.11 – Physical tamper resistance and detection
NDR 3.12 – Provisioning product supplier roots of trust
NDR 3.13 – Provisioning asset owner roots of trust
NDR 3.14 – Integrity of the boot process
NDR 5.2 – Zone boundary protection
NDR 5.3 – General purpose, person-to-person communication restrictions

A 3-3-hoz hasonlóan a 4-2 is licencdíj ellenében érhető el, így ehhez sajnos csak a hivatalos, ISA weboldalra mutató hivatkozást tudom bemásolni, ahol 294 amerikai dollárért lehet megvásárolni a szabványt.

Bejelentés dátuma: 2023.12.10.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RMC8388 V4.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RMC8388 V5.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RMC8388NC V4.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RMC8388NC V5.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG907R minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG908C minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG909R minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG910C minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG920P V4.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG920P V4.X minden, U-Boot-tal használt változat V2016.05RS09-es és újabb verziója;
- RUGGEDCOM RSG920P V5.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG920P V5.X minden, U-Boot-tal használt változat V2016.05RS09-es és újabb verziója;
- RUGGEDCOM RSG920PNC V4.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG920PNC V4.X minden, U-Boot-tal használt változat V2016.05RS09-es és újabb verziója;
- RUGGEDCOM RSG920PNC V5.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG920PNC V5.X minden, U-Boot-tal használt változat V2016.05RS09-es és újabb verziója;
- RUGGEDCOM RSG2488 V4.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG2488 V4.X minden, U-Boot-tal használt változat V2016.05RS09-es és újabb verziója;
- RUGGEDCOM RSG2488 V5.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG2488 V5.X minden, U-Boot-tal használt változat V2016.05RS09-es és újabb verziója;
- RUGGEDCOM RSG2488NC V4.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG2488NC V4.X minden, U-Boot-tal használt változat V2016.05RS09-es és újabb verziója;
- RUGGEDCOM RSG2488NC V5.X minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSG2488NC V5.X minden, U-Boot-tal használt változat V2016.05RS09-es és újabb verziója;
- RUGGEDCOM RSL910 minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RSL910NC minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RST916C minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RST916P minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RST2228 minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RST2228 minden, U-Boot-tal használt változat V2016.05RS09-es és újabb verziója;
- RUGGEDCOM RST2228P minden, U-Boot-tal használt változat V2016.05RS09-nél korábbi verziói;
- RUGGEDCOM RST2228P minden, U-Boot-tal használt változat V2016.05RS09-es és újabb verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2018-18440)/súlyos;
- Uncontrolled Recursion (CVE-2019-13103)/közepes;
Javítás: Nincs
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC STEP 7 (TIA Portal) minden, V19-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information in Memory (CVE-2022-46141)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- POWER METER SICAM Q100 (7KG9501-0AA01-2AA1) minden, V2.60-nál régebbi verziója;
- POWER METER SICAM Q100 (7KG9501-0AA31-2AA1) minden, V2.60-nál régebbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2023-30901)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-31238)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) minden verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SJ00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SJ01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1510SP F-1 PN (6ES7510-1SK03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DJ00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DJ01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1510SP-1 PN (6ES7510-1DK03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AK02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511-1 PN (6ES7511-1AL03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511C-1 PN (6ES7511-1CL03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FK02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511F-1 PN (6ES7511-1FL03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511T-1 PN (6ES7511-1TL03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1511TF-1 PN (6ES7511-1UL03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512C-1 PN (6ES7512-1CM03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512SP F-1 PN (6ES7512-1SM03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DK00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DK01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1512SP-1 PN (6ES7512-1DM03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AL02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513-1 PN (6ES7513-1AM03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FL02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513F-1 PN (6ES7513-1FM03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1513R-1 PN (6ES7513-1RL00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1513R-1 PN (6ES7513-1RM03-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1514SP F-2 PN (6ES7514-2SN03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SP-2 PN (6ES7514-2DN03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SPT F-2 PN (6ES7514-2WN03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1514SPT-2 PN (6ES7514-2VN03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AM02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515-2 PN (6ES7515-2AN03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FM02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515F-2 PN (6ES7515-2FN03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515R-2 PN (6ES7515-2RM00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515R-2 PN (6ES7515-2RN03-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515T-2 PN (6ES7515-2TN03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UM01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1515TF-2 PN (6ES7515-2UN03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AN02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516-3 PN/DP (6ES7516-3AP03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN01-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FN02-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1516F-3 PN/DP (6ES7516-3FP03-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516T-3 PN/DP (6ES7516-3TN00-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1516TF-3 PN/DP (6ES7516-3UN00-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517-3 PN/DP (6ES7517-3AP00-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517F-3 PN/DP (6ES7517-3FP00-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517F-3 PN/DP (6ES7517-3FP01-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517H-3 PN (6ES7517-3HP00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1517T-3 PN/DP (6ES7517-3TP00-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1517TF-3 PN/DP (6ES7517-3UP00-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP (6ES7518-4AP00-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP (6ES7518-4FP00-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518HF-4 PN (6ES7518-4JP00-0AB0) minden verziója;
- SIMATIC S7-1500 CPU 1518T-4 PN/DP (6ES7518-4TP00-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518TF-4 PN/DP (6ES7518-4UP00-0AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK (6ES7518-4AP00-3AB0) minden verziója;
- SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK (6ES7518-4FP00-3AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO F-2 PN (6ES7513-2GL00-0AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1513PRO-2 PN (6ES7513-2PL00-0AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO F-2 PN (6ES7516-2GN00-0AB0) minden verziója;
- SIMATIC S7-1500 ET 200pro: CPU 1516PRO-2 PN (6ES7516-2PN00-0AB0) minden verziója;
- SIMATIC S7-1500 Software Controller minden verziója;
- SIMATIC S7-PLCSIM Advanced minden, V6.0-nál korábbi verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN (6AG1510-1SJ01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP F-1 PN RAIL (6AG2510-1SJ01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN (6AG1510-1DJ01-7AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1510SP-1 PN RAIL (6AG2510-1DJ01-4AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK00-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN (6AG1512-1SK01-7AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP F-1 PN RAIL (6AG2512-1SK01-4AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-2AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN (6AG1512-1DK01-7AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-1AB0) minden verziója;
- SIPLUS ET 200SP CPU 1512SP-1 PN RAIL (6AG2512-1DK01-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK01-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN (6AG1511-1AK02-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK01-1AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN T1 RAIL (6AG2511-1AK02-1AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK01-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511-1 PN TX RAIL (6AG2511-1AK02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1511F-1 PN (6AG1511-1FK02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL01-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513-1 PN (6AG1513-1AL02-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1513F-1 PN (6AG1513-1FL02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN (6AG1515-2FM02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN RAIL (6AG2515-2FM02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515F-2 PN T2 RAIL (6AG2515-2FM01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515R-2 PN (6AG1515-2RM00-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1515R-2 PN TX RAIL (6AG2515-2RM00-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN00-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN01-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP (6AG1516-3AN02-7AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP RAIL (6AG2516-3AN02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516-3 PN/DP TX RAIL (6AG2516-3AN01-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN00-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN01-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP (6AG1516-3FN02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-2AB0) minden verziója;
- SIPLUS S7-1500 CPU 1516F-3 PN/DP RAIL (6AG2516-3FN02-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1517H-3 PN (6AG1517-3HP00-4AB0) minden verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP (6AG1518-4AP00-4AB0) minden, V3.1.0-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0) minden, V3.1.0-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518F-4 PN/DP (6AG1518-4FP00-4AB0) minden, V3.1.0-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518HF-4 PN (6AG1518-4JP00-4AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2023-46156)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2023.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden, V8.0-nál korábbi verziója;
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden, V8.0-nál korábbi verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden, V8.0-nál korábbi verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden verziója;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) minden verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden, V8.0-nál korábbi verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden, V8.0-nál korábbi verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden, V8.0-nál korábbi verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden, V8.0-nál korábbi verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden, V8.0-nál korábbi verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden verziója;
- SCALANCE S615 EEC (6GK5615-0AA01-2AA2) minden, V8.0-nál korábbi verziója;
- SCALANCE S615 EEC (6GK5615-0AA01-2AA2) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2022-46143)/alacsony;
- Use of Hard-coded Cryptographic Key (CVE-2023-44318)/közepes;
- Use of Weak Hash (CVE-2023-44319)/közepes;
- Forced Browsing (CVE-2023-44320)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44321)/alacsony;
- Unchecked Return Value (CVE-2023-44322)/alacsony;
- Injection (CVE-2023-44373)/kritikus;
- Unsynchronized Access to Shared Data in a Multithreaded Context (CVE-2023-44374)/közepes;
- OS Command Injection (CVE-2023-49691)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK MC minden verziója;
- SINUMERIK ONE minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use After Free (CVE-2023-46156)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC CP 1242-7 V2 (beleértve a SIPLUS variánsokat is) minden verziója;
- SIMATIC CP 1243-1 (beleértve a SIPLUS variánsokat is) minden verziója;
- SIMATIC CP 1243-1 DNP3 (beleértve a SIPLUS variánsokat is) minden verziója;
- SIMATIC CP 1243-1 IEC (beleértve a SIPLUS variánsokat is) minden verziója;
- SIMATIC CP 1243-7 LTE minden verziója;
- SIMATIC CP 1243-8 IRC (6GK7243-8RX30-0XE0) minden verziója;
- SIMATIC CP 1543-1 (6GK7543-1AX00-0XE0) minden verziója;
- SINAMICS S210 (6SL5...) V6.1-től V6.1 HF2-ig terjedő (a V6.1 HF2 már nem érintett) verziói;
- SIPLUS NET CP 1543-1 (6AG1543-1AX00-2XE0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Release of Memory after Effective Lifetime (CVE-2023-38380)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.12.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-400 CPU 412-2 PN V7 (6ES7412-2EK07-0AB0) minden verziója;
- SIMATIC S7-400 CPU 414-3 PN/DP V7 (6ES7414-3EM07-0AB0) minden verziója;
- SIMATIC S7-400 CPU 414F-3 PN/DP V7 (6ES7414-3FM07-0AB0) minden verziója;
- SIMATIC S7-400 CPU 416-3 PN/DP V7 (6ES7416-3ES07-0AB0) minden verziója;
- SIMATIC S7-400 CPU 416F-3 PN/DP V7 (6ES7416-3FS07-0AB0) minden verziója;
- SIMATIC PC-Station Plus minden verziója;
- SINAMICS S120 (beleértve a SIPLUS variánsokat is) minden, SP3 HF15-nél korábbi verziója;
- SIPLUS S7-400 CPU 414-3 PN/DP V7 (6AG1414-3EM07-7AB0) minden verziója;
- SIPLUS S7-400 CPU 416-3 PN/DP V7 (6AG1416-3ES07-7AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Recursion (CVE-2022-47374)/súlyos;
- Buffer Access with Incorrect Length Value (CVE-2022-47375)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Cambium
Érintett rendszer(ek):
- ePMP Force 300-25 4.7.0.1-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-6691)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-348-01

Bejelentés dátuma: 2023.12.14.
Gyártó: Sensormatic Electronic
Érintett rendszer(ek):
- Kantech Gen1 ioSmart kártyaolvasók 1.7.2-es korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Release of Memory after Effective Lifetime (CVE-2023-0248)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-348-02

Bejelentés dátuma: 2023.12.19.
Gyártó: EFACEC
Érintett rendszer(ek):
- UC 500E HMI-k 10.1.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2023-50703)/közepes;
- Open Redirect (CVE-2023-50704)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-50705)/közepes;
- Improper Access Control (CVE-2023-50706)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-353-03

Bejelentés dátuma: 2023.12.19.
Gyártó: EuroTel
Érintett rendszer(ek):
- ETL3100 v01c01 verziója;
- ETL3100 v01x37 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-6928)/kritikus;
- Authorization Bypass Through User-Controlled Key (CVE-2023-6929)/súlyos;
- Improper Access Control (CVE-2023-6930)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-353-05

Bejelentés dátuma: 2023.12.19.
Gyártó: EFACEC
Érintett rendszer(ek):
- BCU 500-as intelligens mezőgép 4.07-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2023-50707)/kritikus;
- Cross-site Request Forgery (CVE-2023-6689)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-353-02

Bejelentés dátuma: 2023.12.19.
Gyártó: Open Design Alliance
Érintett rendszer(ek):
- Drawing SDK 2024.1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use after Free (CVE-2023-26495)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22669)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22670)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-353-04

Bejelentés dátuma: 2023.12.19.
Gyártó: Subnet Solutions
Érintett rendszer(ek):
- PowerSYSTEM Center 2020 v5.0.x-től 5.16.x-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unquoted Search Path or Element (CVE-2023-6631)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-353-01

Bejelentés dátuma: 2023.12.21.
Gyártó: QNAP
Érintett rendszer(ek):
- VioStor NVR QVR minden, 4.x-nél korábbi firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2023-47565)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-355-02

Bejelentés dátuma: 2023.12.21.
Gyártó: FXC
Érintett rendszer(ek):
- AE1021PE 2.0.9-es és korábbi firmware-verziói;
- AE1021 2.0.9-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2023-49897)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-355-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ma egy kevésbé örömteli változásról írok, legalább is én erősen úgy érzem, hogy bizonyos dolgok nagyon nem jó irányba változnak az ICS/OT rendszerek kiberbiztonságával kapcsolatban.

Főleg mióta Oroszország megpróbálta lerohanni Ukrajnát, majd ebből egy teljeskörű háború alakult ki, ami mára az egyik első hibrid háborúvá vált, ahol a kibertámadások legalább olyan ádázul dúlják a résztvevő országokat (és gyakran más országokat is), szerintem nagyon hátrányosan változott a ICS/OT rendszerek és kritikus infrastruktúrák kiberbiztonságával kapcsolatos publikációk helyzete. Már az ukrajnai háború elején, az Industroyer2 és a PipeDream ICS malware-ek felfedezése is mutatta a változásokat, korántsem lehetett publikusan annyi és olyan minőségű információt elérni ezekről a malware-ekről és a támadásokról, amikben ezeket a malware-eket bevetették, mint például a Stuxnet-ről vagy a 2015-ös és 2016-os, ukrán villamosenergia-rendszer elleni támadásokról. A 2022-es, szintén az Ukrenergo-t célzó, Living-of-the-Land támadásról pedig még kevesebb információ érhető el.

Erre persze még mondhatnánk azt, hogy ez csak az én érzésem, és én érzem rosszul vagy tévedek, de néhány hete találtam ezt a cikket, amiben ICS biztonsági kutatók is arról panaszkodnak, hogy a nagy ICS/OT gyártók (a cikkben a Rockwell Automation egyik termékének egy sérülékenységét hozzák példának) visszatartanak információkat sérülékeny ICS/OT rendszerekről, viszont ezeket a sérülékenységeket nemzetállami támogatással rendelkező APT-csoportok aktívan használják ki olyankor, amikor a végfelhasználóknak (gyakran kritikus infrastruktúráknak) a hiányos vagy nem elérhető információk miatt esélyük sincs hatékony védekezésre és a támadások negatív hatásainak megelőzésére.

Nem mondom, hogy van megoldásom a helyzetre, de az biztos, hogy amint egyre több ország kormánya kezeli a kiberbiztonság témáját nemzetbiztonsági kérdésként, úgy egyre inkább romlik az egyes (időnként valóban nemzetbiztonsági szempontból is fontos) szervezetek kölcsönös (és igen, időnként bizony személyes szakmai kapcsolatokból származó bizalmon alapuló) információmegosztására épülő védekezési képességei. Ezzel pedig elérkeztünk egy másik fixa ideámhoz, még pedig ahhoz, hogy még ha az egyes országok kormányai nemzetbiztonsági kérdésként kezelik is a kritikus infrastruktúrák kiberbiztonságát, akkor talán vehetnék a fáradtságot, hogy megszervezzék (legalább szektoronként) az érintett, nemzetbiztonsági és nemzetgazdasági szempontból fontos szervezetek között a zárt körű, kölcsönös bizalmon alapuló kiberbiztonsági információmegosztást. Vajon lesz itthon ilyen, mielőtt egy vagy több hazai kritikus infrastruktúra szervezeteit olyan támadások fogják érni, mint az ukrán villamosenergia-rendszert vagy az amerikai viziközmű cégeket?

Bejelentés dátuma: 2023.11.03.
Gyártó: ABB
Érintett rendszer(ek):
- ABB Ability™ Genix 21.1, 22.2, 23.1-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Remote Code Execution (CVE-2023-46604)/kritikus;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2023.12.05.
Gyártó: CODESYS
Érintett rendszer(ek):
- BeagleBone SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- emPC-A/iMX6 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- IOT2000 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- Linux ARM SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- Linux SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- PFC100 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- PFC200 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- PLCnext SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- Raspberry Pi SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
- WAGO Touch Panels 600 SL CODESYS vezérlőinek 4.11.0.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Neutralization of Special Elements used in an OS Command (CVE-2023-6357)/súlyos;
Javítás: Részben elérhető, a végleges javítás 2024. januárra várható.
Link a publikációhoz: CODESYS

Bejelentés dátuma: 2023.12.05.
Gyártó: CODESYS
Érintett rendszer(ek):
- WIBU Codemeter-t használó Linux ARM SL CODESYS vezérlőinek 4.10.0.0-nál korábbi verziói;
- WIBU Codemeter-t használó Linux SL CODESYS vezérlőinek 4.10.0.0-nál korábbi verziói;
- WIBU Codemeter-t használó RTE SL for Beckhoff CX CODESYS vezérlőinek 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó RTE (SL) CODESYS vezérlőinek 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó Win (SL) CODESYS vezérlőinek 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS Development System 2.3.9.45-ös és újabb verziói;
- WIBU Codemeter-t használó CODESYS Development System 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS HMI (SL) 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS OPC OA Server SL 3.5.19.30-nál korábbi verziói;
- WIBU Codemeter-t használó CODESYS SP Realtime NT 2.3.7.25-ös és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based buffer overflow (CVE-2023-3935)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2023-035/

Bejelentés dátuma: 2023.12.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easy UPS Online Monitoring szoftver 2.6-GA-01-23116 és korábbi, Windows 10, 11, Windows
Server 2016, 2019 és 2022 verziókra telepített verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-6407)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2023.12.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Trio Q-sorozatú Ethernet Data Radio minden verziója;
- Trio E-sorozatú Ethernet Data Radio minden verziója;
- Trio J-sorozatú Ethernet Data Radio minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Open Redirect (CVE-2023-5629)/súlyos;
- Download of Code Without Integrity Check (CVE-2023-5630)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.12.12.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Plant iT/Brewmaxx v9.60-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Remote Code Execution (CVE-2022-0543)/kritikus;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK MC minden, V1.22-nél korábbi verziója;
- SINUMERIK ONE minden, V6.22-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Integer Overflow or Wraparound (CVE-2023-28831)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AC0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0) minden, V3.1.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AC0) minden, V3.1.0-nál korábbi verziója;
- SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0) minden, V3.1.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2013-0340)/kritikus;
- Race Condition (CVE-2013-4235)/közepes;
- Command Injection (CVE-2014-7209)/kritikus;
- Command Injection (CVE-2015-20107)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2016-3189)/közepes;
- Cross-site Scripting (CVE-2016-3709)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2016-4658)/kritikus;
- Use After Free (CVE-2016-5131)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2016-9318)/közepes;
- Improper Input Validation (CVE-2016-10228)/közepes;
- Improper Input Validation (CVE-2016-10739)/közepes;
- Out-of-bounds Write (CVE-2017-0663)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2017-7375)/kritikus;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-7376)/kritikus;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-9047)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-9048)/súlyos;
- Out-of-bounds Read (CVE-2017-9049)/súlyos;
- Out-of-bounds Read (CVE-2017-9050)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2017-16931)/kritikus;
- Infinite Loop (CVE-2017-16932)/súlyos;
- Injection (CVE-2017-17512)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2017-18258)/közepes;
- Observable Discrepancy (CVE-2018-0495)/közepes;
- Generation of Error Message Containing Sensitive Information (CVE-2018-12886)/súlyos;
- NULL Pointer Dereference (CVE-2018-14404)/súlyos;
- Infinite Loop (CVE-2018-14567)/közepes;
- Integer Overflow or Wraparound (CVE-2018-18928)/kritikus;
- Improper Input Validation (CVE-2018-19591)/súlyos;
- Infinite Loop (CVE-2018-20482)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2018-20843)/súlyos;
- Out-of-bounds Write (CVE-2018-25032)/közepes;
- Out-of-bounds Write (CVE-2019-3855)/súlyos;
- Out-of-bounds Write (CVE-2019-3856)/súlyos;
- Out-of-bounds Write (CVE-2019-3857)/súlyos;
- Out-of-bounds Read (CVE-2019-3858)/kritikus;
- Out-of-bounds Read (CVE-2019-3859)/kritikus;
- Out-of-bounds Read (CVE-2019-3860)/kritikus;
- Out-of-bounds Read (CVE-2019-3861)/kritikus
- Out-of-bounds Read (CVE-2019-3862)/kritikus;
- Out-of-bounds Write (CVE-2019-3863)/súlyos;
- Use After Free (CVE-2019-5018)/súlyos;
- Out-of-bounds Write (CVE-2019-5094)/súlyos;
- Out-of-bounds Write (CVE-2019-5188)/súlyos;
- Integer Overflow or Wraparound (CVE-2019-5435)/alacsony;
- Out-of-bounds Write (CVE-2019-5436)/súlyos;
- Uncontrolled Search Path Element (CVE-2019-5443)/súlyos;
- Double Free (CVE-2019-5481)/kritikus;
- Out-of-bounds Write (CVE-2019-5482)/kritikus;
- Improper Encoding or Escaping of Output (CVE-2019-6109)/közepes;
- Inappropriate Encoding for Output Context (CVE-2019-6110)/közepes;
- Path Traversal (CVE-2019-6111)/közepes;
- Improper Resource Shutdown or Release (CVE-2019-6488)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2019-7309)/közepes;
- Out-of-bounds Read (CVE-2019-8457)/kritikus;
- Out-of-bounds Read (CVE-2019-9169)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2019-9636)/kritikus;
- Uncontrolled Resource Consumption (CVE-2019-9674)/súlyos;
- CRLF Injection (CVE-2019-9740)/közepes;
- NULL Pointer Dereference (CVE-2019-9923)/súlyos;
- Out-of-bounds Read (CVE-2019-9936)/súlyos;
- NULL Pointer Dereference (CVE-2019-9937)/súlyos;
- CRLF Injection (CVE-2019-9947)/közepes;
- Path Traversal (CVE-2019-9948)/kritikus;
- Encoding Error (CVE-2019-10160)/kritikus;
- Out-of-bounds Write (CVE-2019-11360)/közepes;
- Improper Input Validation (CVE-2019-12290)/súlyos;
- Out-of-bounds Write (CVE-2019-12900)/kritikus;
- Exposure of Resource to Wrong Sphere (CVE-2019-12904)/közepes;
- Missing Encryption of Sensitive Data (CVE-2019-13057)/közepes;
- Missing Encryption of Sensitive Data (CVE-2019-13565)/súlyos;
- Observable Discrepancy (CVE-2019-13627)/közepes;
- Insufficient Entropy (CVE-2019-15847)/súlyos;
- Out-of-bounds Read (CVE-2019-15903)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2019-16056)/súlyos;
- Divide By Zero (CVE-2019-16168)/közepes;
- Integer Overflow or Wraparound (CVE-2019-16905)/súlyos;
- Integer Overflow or Wraparound (CVE-2019-17498)/súlyos;
- Out-of-bounds Write (CVE-2019-17543)/súlyos;
- Out-of-bounds Read (CVE-2019-17594)/közepes;
- Out-of-bounds Read (CVE-2019-17595)/közepes;
- Out-of-bounds Write (CVE-2019-18224)/kritikus;
- Improper Check for Dropped Privileges (CVE-2019-18276)/súlyos;
- Injection (CVE-2019-18348)/közepes;
- Improper Initialization (CVE-2019-19126)/alacsony;
- NULL Pointer Dereference (CVE-2019-19242)/közepes;
- Improper Input Validation (CVE-2019-19244)/súlyos;
- Incorrect Conversion between Numeric Types (CVE-2019-19317)/kritikus;
- Improper Input Validation (CVE-2019-19603)/súlyos;
- Uncontrolled Recursion (CVE-2019-19645)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2019-19646)/kritikus;
- NULL Pointer Dereference (CVE-2019-19880)/súlyos;
- Out-of-bounds Write (CVE-2019-19906)/súlyos;
- NULL Pointer Dereference (CVE-2019-19923)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2019-19924)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2019-19925)/súlyos;
- NULL Pointer Dereference (CVE-2019-19926)/súlyos;
- Missing Release of Resource after Effective Lifetime (CVE-2019-19956)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2019-19959)/súlyos;
- Improper Handling of Exceptional Conditions (CVE-2019-20218)/súlyos;
- Out-of-bounds Read (CVE-2019-20367)/kritikus;
- Missing Release of Memory after Effective Lifetime (CVE-2019-20388)/súlyos;
- Use After Free (CVE-2019-20795)/közepes;
- Infinite Loop (CVE-2019-20907)/súlyos;
- Out-of-bounds Read (CVE-2019-25013)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2019-1010022)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2019-1010023)
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2019-1010024)/közepes;
- Use of Insufficiently Random Values (CVE-2019-1010025)/közepes;
- Out-of-bounds Read (CVE-2019-1010180)/súlyos;
- Use After Free (CVE-2020-1712)/súlyos;
- Out-of-bounds Write (CVE-2020-1751)/közepes;
- Use After Free (CVE-2020-1752)/súlyos;
- Signed to Unsigned Conversion Error (CVE-2020-6096)/súlyos;
- Infinite Loop (CVE-2020-7595)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2020-8169)/súlyos;
- Injection (CVE-2020-8177)/súlyos;
- Use After Free (CVE-2020-8231)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2020-8284)/alacsony;
- Uncontrolloed Recursion (CVE-2020-8285)/súlyos;
- Improper Certificate Validation (CVE-2020-8286)/súlyos;
- Uncontrolloed Search Path Element (CVE-2020-8315)/közepes;
- Uncontrolloed Resource Consumption (CVE-2020-8492)/közepes;
- NULL Pointer Dereference (CVE-2020-9327)/súlyos;
- Out-of-bounds Write (CVE-2020-10029)/közepes;
- Out-of-bounds Write (CVE-2020-10531)/súlyos;
- Out-of-bounds Write (CVE-2020-10543)/súlyos;
- Incorrect Type Conversion or Cast (CVE-2020-10735)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-10878)/súlyos;
- Use of Insufficiently Random Values (CVE-2020-11501)/súlyos;
- Improper Initialization (CVE-2020-11655)/súlyos;
- Use After Free (CVE-2020-11656)/kritikus;
- Improper Input Validation (CVE-2020-12062)/súlyos;
- Uncontrolloed Recursion (CVE-2020-12243)/súlyos;
- Classic Buffer Overflow (CVE-2020-12723)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-12762)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-13434)/közepes;
- NULL Pointer Dereference (CVE-2020-13435)/közepes;
- Authentication Bypass by Spoofing (CVE-2020-13529)/közepes;
- Use After Free (CVE-2020-13630)/súlyos;
- Improper Input Validation (CVE-2020-13631)/közepes;
- NULL Pointer Dereference (CVE-2020-13632)/közepes;
- Improper Privilege Management (CVE-2020-13776)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2020-13777)/súlyos;
- Use After Free (CVE-2020-13871)/súlyos;
- Observable Discrepancy (CVE-2020-14145)/közepes;
- Incorrect Calculation (CVE-2020-14422)/közepes;
- Out-of-bounds Write (CVE-2020-15358)/közepes;
- Uncontrolled Search Path Element (CVE-2020-15523)/súlyos;
- OS Command Injection (CVE-2020-15778)/súlyos;
- Untrusted Search Path (CVE-2020-15801)/kritikus;
- Out-of-bounds Write (CVE-2020-19185)/közepes;
- Out-of-bounds Write (CVE-2020-19186)/közepes;
- Out-of-bounds Write (CVE-2020-19187)/közepes;
- Out-of-bounds Write (CVE-2020-19188)/közepes;
- Out-of-bounds Write (CVE-2020-19189)/közepes;
- Out-of-bounds Write (CVE-2020-19190)/közepes;
- Integer Overflow or Wraparound (CVE-2020-19909)/alacsony;
- Out-of-bounds Write (CVE-2020-21047)/közepes;
- Use After Free (CVE-2020-21913)/közepes;
- Out-of-bounds Write (CVE-2020-22218)/súlyos;
- Out-of-bounds Write (CVE-2020-24659)/súlyos;
- Out-of-bounds Read (CVE-2020-24977)/közepes;
- NULL Pointer Dereference (CVE-2020-25692)/súlyos;
- Reachable Assertion (CVE-2020-25709)/súlyos;
- Reachable Assertion (CVE-2020-25710)/súlyos;
- Injection (CVE-2020-26116)/súlyos;
- Infinite Loop (CVE-2020-27618)/közepes;
- Uncontrolloed Recursion (CVE-2020-28196)/súlyos;
- Integer Overflow or Wraparound (CVE-2020-29361)/súlyos;
- Out-of-bounds Read (CVE-2020-29362)/közepes;
- Out-of-bounds Write (CVE-2020-29363)/súlyos;
- Reachable Assertion (CVE-2020-29562)/közepes;
- Out-of-bounds Write (CVE-2020-29573)/súlyos;
- NULL Pointer Dereference (CVE-2020-35525)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2020-35527)/kritikus;
- Integer Overflow or Wraparound (CVE-2020-36221)/súlyos;
- Reachable Assertion (CVE-2020-36222)/súlyos;
- Out-of-bounds Read (CVE-2020-36223)/súlyos;
- Release of Invalid Pointer or Reference (CVE-2020-36224)/súlyos;
- Double Free (CVE-2020-36225)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2020-36226)/súlyos;
- Infinite Loop (CVE-2020-36227)/súlyos;
- Wrap or Wraparound (CVE-2020-36228)/súlyos;
- Type Confusion (CVE-2020-36229)/súlyos;
- Reachable Assertion (CVE-2020-36230)/súlyos;
- Classic Buffer Overflow (CVE-2021-3177)/kritikus;
- Reachable Assertion (CVE-2021-3326)/súlyos;
- Path Traversal (CVE-2021-3426)/közepes;
- Use After Free (CVE-2021-3516)/súlyos;
- Out-of-bounds Write (CVE-2021-3517)/súlyos;
- Use After Free (CVE-2021-3518)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-3520)/kritikus;
- NULL Pointer Dereference (CVE-2021-3537)/közepes;
- XML Entity Expansion (CVE-2021-3541)/közepes;
- Improper Input Validation (CVE-2021-3580)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-3733)/közepes;
- Uncontrolled Resource Consumption (CVE-2021-3737)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-3826)/súlyos;
- Uncontrolled Recursion (CVE-2021-3997)/közepes;
- Out-of-bounds Read (CVE-2021-3998)/súlyos;
- Off-by-one Error (CVE-2021-3999)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2021-4122)/közepes;
- Unchecked Return Value (CVE-2021-4189)/közepes;
- NULL Pointer Dereference (CVE-2021-4209)/közepes;
- Out-of-bounds Read (CVE-2021-20193)/közepes;
- Use After Free (CVE-2021-20227)/közepes;
- Use After Free (CVE-2021-20231)/kritikus;
- Use After Free (CVE-2021-20232)/kritikus;
- Out-of-bounds Write (CVE-2021-20305)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-22876)/közepes;
- Authentication Bypass by Spoofing (CVE-2021-22890)/alacsony;
- Exposure of Resource to Wrong (CVE-2021-22897)/közepes;
- Missing Initialization of Resource (CVE-2021-22898)/alacsony;
- Use After Free (CVE-2021-22901)/súlyos;
- Improper Validation of Integrity Check Value (CVE-2021-22922)/közepes;
- Insufficiently Protected Credentials (CVE-2021-22923)/közepes;
- Use of Incorrectly-Resolved Name or Reference (CVE-2021-22924)/alacsony;
- Use of Uninitialized Resource (CVE-2021-22925)/közepes;
- Improper Certificate Validation (CVE-2021-22926)/súlyos;
- Double Free (CVE-2021-22945)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2021-22946)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2021-22947)/közepes;
- Improper Input Validation (CVE-2021-23336)/közepes;
- Reachable Assertion (CVE-2021-27212)/súlyos;
- Incorrect Conversion Between Numeric Types (CVE-2021-27218)/súlyos;
- Incorrect Conversion Between Numeric Types (CVE-2021-27219)/súlyos;
- Double Free (CVE-2021-27645)/alacsony;
- Double Free (CVE-2021-28041)/súlyos;
- Link Following (CVE-2021-28153)/közepes;
- Improper Certification Validation (CVE-2021-28363)/közepes;
- Open Redirect (CVE-2021-28861)/súlyos;
- Out-of-bounds Read (CVE-2021-31239)/súlyos;
- Out-of-bounds Write (CVE-2021-32292)/kritikus;
- Infinite Loop (CVE-2021-33294)/közepes;
- Observable Discrepancy (CVE-2021-33560)/súlyos;
- Use After Free (CVE-2021-33574)/kritikus;
- Allocation of Resources without Limits or Throttling (CVE-2021-33910)/közepes;
- Integer Overflow or Wraparound (CVE-2021-35942)/kritikus;
- Use After Free (CVE-2021-36084)/alacsony;
- Use After Free (CVE-2021-36085)/alacsony;
- Use After Free (CVE-2021-36086)/alacsony;
- Out-of-bounds Read (CVE-2021-36087)/alacsony;
- NULL Pointer Dereference (CVE-2021-36222)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-36690)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-37600)/közepes;
- NULL Pointer Dereference (CVE-2021-37750)/közepes;
- NULL Pointer Dereference (CVE-2021-38604)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-41617)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2021-43396)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-43618)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-45960)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-46143)/súlyos;
- Uncontrolled Recursion (CVE-2021-46195)/közepes;
- Allocation of Resources without Limits or Throttling (CVE-2021-46828)/súlyos;
- Off-by-one Error (CVE-2021-46848)/kritikus;
- Injection (CVE-2022-0391)/súlyos;
- Generation of Error Message Containing Sensitive Information (CVE-2022-0563)/közepes;
- Infinite Loop (CVE-2022-0778)/súlyos;
- Improper Input Validation (CVE-2022-1271)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Out-of-bounds Write (CVE-2022-1304)/súlyos;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-1434)/közepes;;
- Improper Resource Shutdown or Realese (CVE-2022-1473)/súlyos;
- OS Command Injection (CVE-2022-2068)/kritikus;
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- Out-of-bounds Write (CVE-2022-2274)/kritikus;
- Double Free (CVE-2022-2509)/súlyos;
- Out-of-bounds Write (CVE-2022-3715)/súlyos;
- Off-by-one Error (CVE-2022-3821)/közepes;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Improper Authentication (CVE-2022-22576)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22822)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22823)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22824)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-22825)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22826)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-22827)/súlyos;
- Classic Buffer Overflow (CVE-2022-23218)/kritikus;
- Classic Buffer Overflow (CVE-2022-23219)/kritikus;
- Use After Free (CVE-2022-23308)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-23852)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-23990)/kritikus;
- SQL Injection (CVE-2022-24407)/súlyos;
- Improper Encoding or Escaping of Output (CVE-2022-25235)/kritikus;
- Exposure of Resource to Wrong Sphere (CVE-2022-25236)/kritikus;
- Uncontrolled Resource Consumption (CVE-2022-25313)/közepes;
- Integer Overflow or Wraparound (CVE-2022-25314)/súlyos;
- Integer Overflow or Wraparound (CVE-2022-25315)/kritikus;
- Untrusted Search Path (CVE-2022-26488)/súlyos;
- Insufficiently Protected Credentials (CVE-2022-27774)/közepes;
- Missing Encryption or Sensitive Data (CVE-2022-27775)/súlyos;
- Insufficiently Protected Credentials (CVE-2022-27776)/közepes;
- Use of Incorrectly-Resolved Name or Reference (CVE-2022-27778)/súlyos;
- Missing Encryption or Sensitive Data (CVE-2022-27779)/közepes;
- Server-Side Request Forgery (SSRF) (CVE-2022-27780)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-27781)/súlyos;
- Improper Certificate Validation (CVE-2022-27782)/súlyos;
- Uncontrolled Recursion (CVE-2022-27943)/közepes;
- Improper Authentication (CVE-2022-28321)/kritikus;
- SQL Injection (CVE-2022-29155)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-29824)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2022-30115)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permission (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Expected Behavior Violation (CVE-2022-32221)/súlyos;
- Improper Validation of Syntatic Correctness of Input (CVE-2022-35252)/súlyos;
- Static Buffer Overflow (CVE-2022-35260)
- Improper Validation of Array Index (CVE-2022-35737)/súlyos;
- Out-of-bounds Write (CVE-2022-37434)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-37454)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-40303)/súlyos;
- Double Free (CVE-2022-40304)/súlyos;
- Use After Free (CVE-2022-40674)/kritikus;
- Integer Overflow or Wraparound (CVE-2022-42898)/súlyos;
- Double Free (CVE-2022-42915)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2022-42916)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2022-43551)/súlyos;
- Use After Free (CVE-2022-43552)/közepes;
- Use After Free (CVE-2022-43680)/súlyos;
- Inefficient Algorithmic Complexity (CVE-2022-45061)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-45873)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-46908)/súlyos;
- Out-of-bounds Read (CVE-2022-48303)/közepes;
- Out-of-bounds Write (CVE-2022-48522)/kritikus;
- Use After Free (CVE-2022-48560)/súlyos;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Observable Discrepancy (CVE-2023-0361)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Classic Buffer Overflow (CVE-2023-0687)/közepes;
- Type Confusion (CVE-2023-1077)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-1206)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/közepes;
- NULL Pointer Dereference (CVE-2023-2953)/súlyos;
- NULL Pointer Dereference (CVE-2023-3212)/közepes;
- Inefficient Regular Expression Complexity (CVE-2023-3446)/közepes;
- Use After Free (CVE-2023-3609)/súlyos;
- Out-of-bounds Write (CVE-2023-3611)/súlyos;
- NULL Pointer Dereference (CVE-2023-3772)/közepes;
- Excessive Iteration (CVE-2023-3817)/közepes;
- Heap-based Buffer Overflow (CVE-2023-4016)/alacsony;
- Protection Mechanism Failure (CVE-2023-4039)/közepes;
- Out-of-bounds Read (CVE-2023-4527)/közepes;
- Use After Free (CVE-2023-4623)/súlyos;
- Use After Free (CVE-2023-4806)/közepes;
- Improper Input Validation (CVE-2023-4807)/súlyos;
- Use After Free (CVE-2023-4813)/közepes;
- Stack-based Buffer Overflow (CVE-2023-4911)/súlyos;
- Use After Free (CVE-2023-4921)/súlyos;
- Missing Release of Memory After Effective Lifetime (CVE-2023-5156)/közepes;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-5678)/közepes;
- Out-of-bounds Write (CVE-2023-5717)/súlyos;
- Observable Discrepancy (CVE-2023-5981)/közepes;
- Cleartext Transmission of Sensitive Information (CVE-2023-23914)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2023-23915)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2023-23916)/közepes;
- Improper Input Validation (CVE-2023-24329)/súlyos;
- Double Free (CVE-2023-25136)/közepes;
- Out-of-bounds Write (CVE-2023-25139)/kritikus;
- Missing Encryption of Sensitive Data (CVE-2023-26604)/súlyos;
- Improper Input Validation (CVE-2023-27371)/közepes;
- Injection (CVE-2023-27533)/súlyos;
- Path Traversal (CVE-2023-27534)/súlyos;
- Improper Authentication (CVE-2023-27535)/közepes;
- Improper Authentication (CVE-2023-27536)/közepes;
- Double Free (CVE-2023-27537)/közepes;
- Improper Input Validation (CVE-2023-27538)/súlyos;
- NULL Pointer Dereference (CVE-2023-28484)/közepes;
- Missing Encryption of Sensitive Data (CVE-2023-28531)/kritikus;
- Injection (CVE-2023-29383)/alacsony;
- Double Free (CVE-2023-29469)/közepes;
- Out-of-bounds Write (CVE-2023-29491)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-29499)/súlyos;
- Divide by Zero (CVE-2023-31085)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32611)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-32636)/közepes;
- Heap-based Buffer Overflow (CVE-2023-32643)/közepes;
- Deserialization of Untrusted Data (CVE-2023-32665)/közepes;
- Out-of-bounds Write (CVE-2023-34319)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-34969)/közepes;
- Out-of-bounds Write (CVE-2023-35001)/súlyos;
- Uncontrolled Resource Consumption (CVE-2023-35945)/súlyos;
- Improper Input Validation (CVE-2023-38408)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-38545)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2023-38546)/alacsony;
- Out-of-bounds Write (CVE-2023-39128)/közepes;
- Out-of-bounds Read (CVE-2023-39189)/közepes;
- Out-of-bounds Read (CVE-2023-39192)/közepes;
- Out-of-bounds Read (CVE-2023-39193)/közepes;
- Out-of-bounds Read (CVE-2023-39194)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-39615)/közepes;
- Use After Free (CVE-2023-40283)/súlyos;
- NULL Pointer Dereference (CVE-2023-42754)/közepes;
- Out-of-bounds Read (CVE-2023-42755)/közepes;
- Uncontrolled Resource Consumption (CVE-2023-44487)/súlyos;
- Use After Free (CVE-2023-45322)/közepes;
- Integer Overflow or Wraparound (CVE-2023-45853)/kritikus;
- Classic Buffer Overflow (CVE-2023-45871)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden, V7.2.2-nél korábbi verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) (6GK5812-1AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) (6GK5812-1BA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) (6GK5816-1AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) (6GK5816-1BA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden, V7.2.2-nél korábbi verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden, V7.2.2-nél korábbi verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden, V7.2.2-nél korábbi verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden, V7.2.2-nél korábbi verziója;
- SCALANCE S615 EEC (6GK5615-0AA01-2AA2) minden, V7.2.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Acceptance of Extraneous Untrusted Data With Trusted Data (CVE-2023-44317)/súlyos;
- OS Command Injection (CVE-2023-49692)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC INS V1.0 SP2 Update 2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Input Validation (CVE-2023-27538)/súlyos;
- Improper Certificate Validation (CVE-2023-48427)/súlyos;
- OS Command Injection (CVE-2023-48428)/súlyos;
- Unexpected Status Code or Return Value (CVE-2023-48429)/alacsony;
- Missing Report of Error Condition (CVE-2023-48430)/alacsony;
- Improper Check for Unusual or Exceptional Conditions (CVE-2023-48431)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Opcenter Quality minden verziója;
- SIMATIC PCS neo minden, v4.1-nél korábbi verziója;
- SINUMERIK Integrate RunMyHMI /Automotive minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v14 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v15.1 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v16 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v17 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) v18 minden, V18 update 3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Permissive Cross-domain Policy with Untrusted Domains (CVE-2023-46281)/súlyos;
- Cross-site Scripting (CVE-2023-46282)/súlyos;
- Classic Buffer Overflow (CVE-2023-46283)/súlyos;
- Classic Buffer Overflow (CVE-2023-46284)/súlyos;
- Improper Input Validation (CVE-2023-46285)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2023.12.14.
Gyártó: Siemens
Érintett rendszer(ek):
- LOGO! 12/24RCE (6ED1052-1MD08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 12/24RCEo (6ED1052-2MD08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24CE (6ED1052-1CC08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24CEo (6ED1052-2CC08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24RCE (6ED1052-1HB08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 24RCEo (6ED1052-2HB08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 230RCE (6ED1052-1FB08-0BA1) minden, v8.3-as és korábbi verziói;
- LOGO! 230RCEo (6ED1052-2FB08-0BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 12/24RCE (6AG1052-1MD08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 12/24RCEo (6AG1052-2MD08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24CEo (6AG1052-2CC08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24RCE (6AG1052-1HB08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 24RCEo (6AG1052-2HB08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA1) minden, v8.3-as és korábbi verziói;
- SIPLUS LOGO! 230RCEo (6AG1052-2FB08-7BA1) minden, v8.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Protection against Electromagnetic Fault Injection (EM-FI) (CVE-2022-42784)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ezt az 5 napos tanfolyamot Joel Langill, az Industrial Control System Cyber Security Institute (és korábban a SCADAhacker.com) alapítója, a Texas-i A&M egyetem professzora építette fel. A tanfolyam célja az ipari folyamatirányító rendszereken végzett sérülékenység vizsgálati és behatolás tesztelési feladatokat elvégezni képes etikus hackerek képzése.

A képzés során a résztvevők (akik jellemzően inkább az IT biztonsági irányból érkeznek erre a szakterületre) rövid, ám alapos áttekintést kapnak az ipari rendszerek architektúráiból, az ipari környezetben használt rendszerekből és jellemző kommunikációikból. Ezután (számítva arra, hogy bár kisebb számban és valószínűséggel, de érkezhetnek OT mérnökök is erre a képzésre) egy blokkban az etikus hackerek eszköztárát és módszertanát is bemutatja a tanfolyam, majd az alapvető támadói technikákat is sorra veszi. Ezt követően már az ICS-specifikus sérülékenységek és exploitok megismerése következik, majd az ICS rendszerek működésének kompromittálásával folytatják. A tanfolyam két utolsó, nagyobb blokkjában a vállalati (IT) rendszerekkel kapcsolatban lévő SCADA és DCS rendszerek elleni támadási lehetőségeket mutatja be a tanfolyam.

Ez a képzés (ahogy manapság már egyetlen, ICS/OT biztonsági képzés sem) nem olcsó, jelenleg 9000 amerikai dollárért lehet elvégezni az 5 napos tanfolyamot.

További információkat az ICSCSI.org weboldalon lehet találni.

Bejelentés dátuma: 2023.12.05.
Gyártó: Zebra Technologies
Érintett rendszer(ek):
- ZTC Industrial ZT410 minden verziója;
- ZTC Desktop GK420d minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2023-4957)/közepes;
Javítás: Nincs, mindkét érintett termék támogatása már megszűnt.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-339-01

Bejelentés dátuma: 2023.12.07.
Gyártó: ControlByWeb
Érintett rendszer(ek):
- X-332-24I 1.06-os firmware-verziója;
- X-301-I 1.15-ös firmware-verziója;
- X-301-24I 1.15-ös firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Scripting (CVE-2023-6333)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-341-05

Bejelentés dátuma: 2023.12.07.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELIPC MI5122-VW minden verziója;
- MELIPC MI2012-W minden verziója;
- MELIPC MI1002-W minden verziója;
- MELIPC MI3321G-W minden verziója;
- MELIPC MI3315G-W minden verziója;
- MELSEC iQ-R R102WCPU-W minden verziója;
- MELSEC Q Q24DHCCPU-V minden verziója;
- MELSEC Q Q24DHCCPU-VG minden verziója;
- MELSEC Q Q24DHCCPU-LS minden verziója;
- MELSEC Q Q26DHCCPU-LS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Processor Optimization Removal or Modification of Security-Critical Code (CVE-2022-21151)/közepes;
- Observable Discrepancy (CVE-2021-33149)/alacsony;
Javítás: Nincs
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-341-01

Bejelentés dátuma: 2023.12.07.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys NAE55 engine 12.0.4-nél korábbi verziói;
- Metasys SNE engine 12.0.4-nél korábbi verziói;
- Metasys SNC engine 12.0.4-nél korábbi verziói;
- Facility Explorer F4-SNC 11.0.6-nál korábbi verziói;
- Facility Explorer F4-SNC 12.0.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2023-4486)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-341-03

Bejelentés dátuma: 2023.12.07.
Gyártó: Sierra Wireless
Érintett rendszer(ek):
- AirLink ALEOS 4.9.9-nél korábbi firmware-verziói;
- AirLink ALEOS 4.17.0-nál korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite Loop (CVE-2023-40458)/súlyos;
- NULL Pointer Dereference (CVE-2023-40459)/súlyos;
- Cross-site Scripting (CVE-2023-40460)/súlyos;
- Cross-site Scripting (CVE-2023-40461)/súlyos;
- Reachable Assertion (CVE-2023-40462)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-40463)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2023-40464)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-341-06

Bejelentés dátuma: 2023.12.07.
Gyártó: Schweitzer Engineering Laboratories
Érintett rendszer(ek):
- Schweitzer Engineering Laboratories SEL-411L R118 V0-V3 verziói;
- Schweitzer Engineering Laboratories SEL-411L R119 V0-V4 verziói;
- Schweitzer Engineering Laboratories SEL-411L R120 V0-V5 verziói;
- Schweitzer Engineering Laboratories SEL-411L R121 V0-V2 verziói;
- Schweitzer Engineering Laboratories SEL-411L R122 V0-V2 verziói;
- Schweitzer Engineering Laboratories SEL-411L R123 V0-V2 verziói;
- Schweitzer Engineering Laboratories SEL-411L R124 V0-V2 verziói;
- Schweitzer Engineering Laboratories SEL-411L R125 V0-V2 verziói;
- Schweitzer Engineering Laboratories SEL-411L R126 V0-V3 verziói;
- Schweitzer Engineering Laboratories SEL-411L R127 V0-V1 verziói;
- Schweitzer Engineering Laboratories SEL-411L R128 V0 verziója;
- Schweitzer Engineering Laboratories SEL-411L R129 V0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Rendered UI Layers or Frames (CVE-2023-2265)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-341-02

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.