Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Foxboro DCS Control Core Services minden, HF98577958-as patchnél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-Bounds Write (CVE-2023-2569)/súlyos;
- Improper Validation of Array Index (CVE-2023-2570)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Foxboro SCADA minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Clear Text Storage of Sensitive Information in Memory (n/a)/közepes;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS (Interactive Graphical SCADA System) Dashboard v16.0.0.23130 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-3001)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2023.06.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Operator Terminal Expert 3.3 SP1-es és korábbi verziói;
- Pro-face BLUE 3.3 SP1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-1049)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2023.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Transaction Manager 13.10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2023-2778)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-04
Bejelentés dátuma: 2023.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Edge Gateway v1.3-as verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2021-35940)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-03
Bejelentés dátuma: 2023.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Policy Manager v6.11.0 verziója;
- FactoryTalk System Services v6.11.0 verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Cryptographic Key (CVE-2023-2637)/súlyos;
- Improper Authentication (CVE-2023-2638)/közepes;
- Origin Validation Error (CVE-2023-2639)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-02
Bejelentés dátuma: 2023.06.13.
Gyártó: Datalogics
Érintett rendszer(ek):
- Datalogics Library APDFL v18.0.4PlusP1e és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based buffer overflow (CVE-2023-1709)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-164-01
Bejelentés dátuma: 2023.06.15.
Gyártó: SUBNET Solutions Inc.
Érintett rendszer(ek):
- PowerSYSTEM Center 2020 U10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2023-32659)/közepes;
- Authentication Bypass by Capture-replay (CVE-2023-29158)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-166-01
Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMOTION C240 (6AU1240-1AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION C240 PN (6AU1240-1AB00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D410-2 DP (6AU1410-2AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D410-2 DP/PN (6AU1410-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D425-2 DP (6AU1425-2AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D425-2 DP/PN (6AU1425-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D435-2 DP (6AU1435-2AA00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D435-2 DP/PN (6AU1435-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D445-2 DP/PN (6AU1445-2AD00-0AA0) minden, V5.4-es és újabb verziói;
- SIMOTION D445-2 DP/PN (6AU1445-2AD00-0AA1) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION D455-2 DP/PN (6AU1455-2AD00-0AA0) minden, V5.4-es és újabb, de V5.5 SP1-nél korábbi verziója;
- SIMOTION P320-4 E (6AU1320-4DE65-3AF0) minden, V5.4-es és újabb verziói;
- SIMOTION P320-4 S (6AU1320-4DS66-3AG0) minden, V5.4-es és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information Due to Incompatible Policies (CVE-2023-27465)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SINAMICS GL150 minden, 2021. október 2023. május között kiadott, C68-as opcióval működő verziója;
- SINAMICS PERFECT HARMONY GH180 6SR5 minden, 2021. október 2023. május között kiadott, SCALANCE S615-ös eszközzel telepített verziója;
- SINAMICS SL150 minden, 2021. október 2023. május között kiadott, C68-as opcióval működő verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- Out-of-bounds Read (CVE-2021-42374)/közepes;
- Use After Free (CVE-2021-42378)/közepes;
- Use After Free (CVE-2021-42379)/közepes;
- Use After Free (CVE-2021-42380)/közepes;
- Use After Free (CVE-2021-42381)/közepes;
- Use After Free (CVE-2021-42382)/közepes;
- Use After Free (CVE-2021-42383)/közepes;
- Use After Free (CVE-2021-42384)/közepes;
- Use After Free (CVE-2021-42385)/közepes;
- Use After Free (CVE-2021-42386)/közepes;
- Improper Authentication (CVE-2022-0547)/kritikus;
- Use After Free (CVE-2022-1199)/súlyos;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
- Use After Free (CVE-2022-23308)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
- Incorrect Default Permissions (CVE-2022-32207)/kritikus;
- Out-of-bounds Write (CVE-2022-32208)/közepes;
- Improper Validation of Syntactic Correctness of Input (CVE-2022-35252)/súlyos;
- Improper Input Validation (CVE-2022-36946)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2023 minden, V223.0 Update 5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-26495)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- CP-8031 MASTER MODULE (6MF2803-1AA00) minden, CPCI85 V05-nél korábbi verziója;
- CP-8050 MASTER MODULE (6MF2805-0AA00) minden, CPCI85 V05-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2023-33919)/súlyos;
- Use of Hard-coded Credentials (CVE-2023-33920)/közepes;
- Exposed Dangerous Method or Function (CVE-2023-33921)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC WinCC minden, V7.5.2.13-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2023-30897)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 minden verziója;
- SIMATIC S7-PM minden verziója;
- SIMATIC STEP 7 V5 minden, V5.7-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2023-25910)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC NET PC Software V14 minden verziója;
- SIMATIC NET PC Software V15 minden verziója;
- SIMATIC PCS 7 V8.2 minden verziója;
- SIMATIC PCS 7 V9.0 minden verziója;
- SIMATIC PCS 7 V9.1 minden verziója;
- SIMATIC WinCC minden, V8.0-nál korábbi verziója;
- SINAUT Software ST7sc minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Obsolete Function (CVE-2023-28829)/alacsony;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT
Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Totally Integrated Automation Portal (TIA Portal) V14 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V15 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V15.1 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V16 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V17 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V18 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Protection Mechanism Failure (CVE-2023-30757)/közepes;
Javítás: Jelenleg nincs tervezett javítás.
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.2.0.3-nál korábbi verziója;
- Teamcenter Visualization V13.2 minden, V13.2.0.13-nél korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.10-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden, V14.0.0.6-nál korábbi verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.8-nál korábbi verziója;
- Teamcenter Visualization V14.2 minden, V14.2.0.3-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2023-33121)/alacsony;
- Out-of-bounds Read (CVE-2023-33122)/alacsony;
- Out-of-bounds Read (CVE-2023-33123)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-33124)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT
Bejelentés dátuma: 2023.06.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC S7-1500 TM MFP - Linux Kernel minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2021-3759)/közepes;
- Improper Access Control (CVE-2021-4037)/súlyos;
- Out-of-bounds Write (CVE-2021-33655)/közepes;
- Incomplete Cleanup (CVE-2022-0171)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-1012)/súlyos;
- Use After Free (CVE-2022-1184)/közepes;
- OS Command Injection (CVE-2022-1292)/kritikus;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-1434)/közepes;
- Race Condition (CVE-2022-1462)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
- Use After Free (CVE-2022-1679)/súlyos;
- NULL Pointer Dereference (CVE-2022-1852)/közepes;
- Use After Free (CVE-2022-1882)/súlyos;
- OS Command Injection (CVE-2022-2068)/kritikus;
- Stack-based Buffer Overflow (CVE-2022-2078)/közepes;
- Inadequate Encryption Strength (CVE-2022-2097)/közepes;
- NULL Pointer Dereference (CVE-2022-2153)/közepes;
- Out-of-bounds Write (CVE-2022-2274)/kritikus;
- Double Free (CVE-2022-2327)/súlyos;
- Improper Authentication (CVE-2022-2503)/közepes;
- Use After Free (CVE-2022-2586)/közepes;
- Improper Input Validation (CVE-2022-2588)/súlyos;
- Improper Input Validation (CVE-2022-2602)/súlyos;
- Improper Restriction of Communication Channel to Intended Endpoints (CVE-2022-2663)/közepes;
- Out-of-bounds Read (CVE-2022-2905)/közepes;
- Race Condition (CVE-2022-2959)/súlyos;
- Use After Free (CVE-2022-2978)/súlyos;
- Race Condition (CVE-2022-3028)/súlyos;
- NULL Pointer Dereference (CVE-2022-3104)/közepes;
- NULL Pointer Dereference (CVE-2022-3115)/közepes;
- Improper Input Validation (CVE-2022-3169)/közepes;
- Race Condition (CVE-2022-3303)/közepes;
- Race Condition (CVE-2022-3521)/alacsony;
- Improper Resource Shutdown or Release (CVE-2022-3524)/közepes;
- Use After Free (CVE-2022-3534)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3545)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3564)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3565)/súlyos;
- Use After Free (CVE-2022-3586)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-3594)/közepes;
- NULL Pointer Dereference (CVE-2022-3606)/közepes;
- NULL Pointer Dereference (CVE-2022-3621)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3625)/súlyos;
- Classic Buffer Overflow (CVE-2022-3628)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-3629)/alacsony;
- Missing Release of Memory after Effective Lifetime (CVE-2022-3633)/alacsony;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3635)/súlyos;
- Improper Resource Shutdown or Release (CVE-2022-3646)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3649)/súlyos;
- Use After Free (CVE-2022-4095)/súlyos;
- Improper Locking (CVE-2022-4129)/közepes;
- Missing Release of Memory after Effective Lifetime (CVE-2022-4139)/súlyos;
- Inadequate Encryption Strength (CVE-2022-4304)/közepes;
- Double Free (CVE-2022-4450)/közepes;
- Non-exit on Failed Initialization (CVE-2022-4662)/közepes;
- Use After Free (CVE-2022-20421)/súlyos;
- Race Condition (CVE-2022-20422)/súlyos;
- Use After Free (CVE-2022-20566)/súlyos;
- Incorrect Authorization (CVE-2022-20572)/közepes;
- Incomplete Cleanup (CVE-2022-21123)/közepes;
- Incomplete Cleanup (CVE-2022-21125)/közepes;
- Incomplete Cleanup (CVE-2022-21166)/közepes;
- Authentication Bypass by Primary Weakness (CVE-2022-21505)/közepes;
- Missing Encryption of Sensitive Data (CVE-2022-26373)/közepes;
- Use After Free (CVE-2022-32250)/súlyos;
- Observable Discrepancy (CVE-2022-32296)/alacsony;
- Type Confusion (CVE-2022-34918)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2022-36123)/súlyos;
- Out-of-bounds Write (CVE-2022-36280)/közepes;
- Improper Input Validation (CVE-2022-36879)/közepes;
- Improper Input Validation (CVE-2022-36946)/súlyos;
- Race Condition (CVE-2022-39188)/közepes;
- Uncontrolled Resource Consumption (CVE-2022-39190)/közepes;
- Use After Free (CVE-2022-40307)/közepes;
- Exposure of Resource to Wrong Sphere (CVE-2022-40768)/közepes;
- Use After Free (CVE-2022-41218)/közepes;
- Use After Free (CVE-2022-41222)/súlyos;
- Out-of-bounds Write (CVE-2022-41674)/súlyos;
- Race Condition (CVE-2022-41849)/közepes;
- Race Condition (CVE-2022-41850)/közepes;
- Improper Locking (CVE-2022-42328)/közepes;
- Improper Locking (CVE-2022-42329)/közepes;
- Use of Uninitialized Variable (CVE-2022-42432)/közepes;
- Use After Free (CVE-2022-42703)/közepes;
- Use After Free (CVE-2022-42719)/súlyos;
- Use After Free (CVE-2022-42720)/súlyos;
- Infinite Loop (CVE-2022-42721)/közepes;
- NULL Pointer Dereference (CVE-2022-42722)/közepes;
- Access of Uninitialized Pointer (CVE-2022-42895)/közepes;
- Use After Free (CVE-2022-42896)/súlyos;
- Out-of-bounds Write (CVE-2022-43750)/közepes;
- Out-of-bounds Write (CVE-2022-47518)/súlyos;
- Out-of-bounds Read (CVE-2022-47520)/súlyos;
- NULL Pointer Dereference (CVE-2022-47929)/közepes;
- Use After Free (CVE-2022-47946)/közepes;
- Use After Free (CVE-2023-0215)/közepes;
- Improper Input Validation (CVE-2023-0286)/súlyos;
- Improper Certificate Validation (CVE-2023-0464)/súlyos;
- Improper Certificate Validation (CVE-2023-0465)/közepes;
- Improper Certificate Validation (CVE-2023-0466)/közepes;
- Use After Free (CVE-2023-0590)/közepes;
- Type Confusion (CVE-2023-1077)/súlyos;
- NULL Pointer Dereference (CVE-2023-1095)/közepes;
- Type Confusion (CVE-2023-23454)/közepes;
- Type Confusion (CVE-2023-23455)/közepes;
- Integer Overflow or Wraparound (CVE-2023-23559)/súlyos;
- Out-of-bounds Read (CVE-2023-26607)/súlyos;
Javítás: Jelenleg nincs elérhető javítás.
Link a publikációhoz: Siemens ProductCERT
A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.