Bejelentés dátuma: 2023.02.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Merten INSTABUS Tastermodul 1fach System M 625199 1.0 verziója;
- Merten INSTABUS Tastermodul 2fach System M 625299 1.0 verziója;
- Merten Tasterschnittstelle 4fach plus 670804 1.0 és 1.2-es verziói;
- Merten KNX ARGUS 180/2,20M UP SYSTEM 631725 1.0 verziója;
- Merten Jalousie-/Schaltaktor REG-K/8x/16x/10 m. HB 649908 1.0 verziója (a termék támogatása már megszűnt);
- Merten KNX Uni-Dimmaktor LL REG-K/2x230/300 W MEG6710-0002 1.0 és 1.1-es verziói (a termék támogatása már megszűnt);
- Merten KNX Schaltakt.2x6A UP m.2 Eing. MEG6003-0002 0.1-es verziója (a termék támogatása már megszűnt);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2023-25556)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2023.02.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- StruxureWare Data Center Expert V7.9.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Authorization (CVE-2023-25547)/súlyos;
- Incorrect Authorization (CVE-2023-25548)/súlyos;
- Missing Authorization (CVE-2023-25552)/súlyos;
- OS Command Injection (CVE-2023-25554)/súlyos;
- Code Injection (CVE-2023-25549)/súlyos;
- Code Injection (CVE-2023-25550)/súlyos;
- Cross-site Scripting (CVE-2023-25551)/közepes;
- Cross-site Scripting (CVE-2023-25553)/közepes;
- OS Command Injection (CVE-2023-25555)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2023.02.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure TM Geo SCADA Expert 2019 minden, 2022 októberinél korábbi verziója;
- EcoStruxure TM Geo SCADA Expert 2020 minden, 2022 októberinél korábbi verziója;
- EcoStruxure TM Geo SCADA Expert 2021 minden, 2022 októberinél korábbi verziója;
- ClearSCADA minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Output Neutralization for Logs (CVE-2023-0595)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric
Bejelentés dátuma: 2023.02.14.
Gyártó: Weintek
Érintett rendszer(ek):
- Weintek EasyBuilder Pro v6.07.01 és korábbi verziói;
- Weintek EasyBuilder Pro v6.07.02.479 és korábbi verziói;
- Weintek EasyBuilder Pro v6.08.01.349 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2023-0104)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-045-01
Bejelentés dátuma: 2023.02.16.
Gyártó: WAGO
Érintett rendszer(ek):
- 852-111/000-001-es, nem menedzselt WAGO switch-ek 01-es firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of configuration interface in unmanaged switches (CVE-2022-3843)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://cert.vde.com/en/advisories/VDE-2022-055/
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix 7-et használó Mendix alkalmazások minden, V7.23.34-nél korábbi verziói;
- Mendix 8-et használó Mendix alkalmazások minden, V8.18.23-nál korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások minden, V9.22.0-nál korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások (V9.12) V9.12.10-nél korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások (V9.18) V9.18.4-nél korábbi verziói;
- Mendix 9-et használó Mendix alkalmazások (V9.6) V9.6.15-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2023-23835)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-11
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS V10.2 minden verziója;
- COMOS V10.3.3.1 minden, V10.3.3.1.45-nél korábbi verziója;
- COMOS V10.3.3.2 minden, V10.3.3.2.33-nál korábbi verziója;
- COMOS V10.3.3.3 minden, V10.3.3.3.9-nél korábbi verziója;
- COMOS V10.3.3.4 minden, V10.3.3.4.6-nál korábbi verziója;
- COMOS V10.4.0.0 minden, V10.4.0.0.31-nél korábbi verziója;
- COMOS V10.4.1.0 minden, V10.4.1.0.32-nél korábbi verziója;
- COMOS V10.4.2.0 minden, V10.4.2.0.25-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2023-24482)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-10
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Field PG M5 minden verziója;
- SIMATIC Field PG M6 minden verziója;
- SIMATIC IPC BX-39A minden verziója;
- SIMATIC IPC427E minden verziója;
- SIMATIC IPC477E minden verziója;
- SIMATIC IPC477E Pro minden verziója;
- SIMATIC IPC627E minden verziója;
- SIMATIC IPC647E minden verziója;
- SIMATIC IPC677E minden verziója;
- SIMATIC IPC847E minden verziója;
- SIMATIC ITP1000 minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- TOCTOU Race Condition (CVE-2022-21198)/súlyos;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-09
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 ADM (6GK6015-0AL20-0GL0) minden verziója;
- RUGGEDCOM APE1808 ADM CC (6GK6015-0AL20-0GL1) minden verziója;
- RUGGEDCOM APE1808 CKP (6GK6015-0AL20-0GK0) minden verziója;
- RUGGEDCOM APE1808 CKP CC (6GK6015-0AL20-0GK1) minden verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT (6GK6015-0AL20-0GM0) minden verziója;
- RUGGEDCOM APE1808 CLOUDCONNECT CC (6GK6015-0AL20-0GM1) minden verziója;
- RUGGEDCOM APE1808 ELAN (6GK6015-0AL20-0GP0) minden verziója;
- RUGGEDCOM APE1808 ELAN CC (6GK6015-0AL20-0GP1) minden verziója;
- RUGGEDCOM APE1808 SAM-L (6GK6015-0AL20-0GN0) minden verziója;
- RUGGEDCOM APE1808 SAM-L CC (6GK6015-0AL20-0GN1) minden verziója;
- RUGGEDCOM APE1808CLA-P (6GK6015-0AL20-1AA0) minden verziója;
- RUGGEDCOM APE1808CLA-P CC (6GK6015-0AL20-1AA1) minden verziója;
- RUGGEDCOM APE1808CLA-S1 (6GK6015-0AL20-1AB0) minden verziója;
- RUGGEDCOM APE1808CLA-S1 CC (6GK6015-0AL20-1AB1) minden verziója;
- RUGGEDCOM APE1808CLA-S3 (6GK6015-0AL20-1AD0) minden verziója;
- RUGGEDCOM APE1808CLA-S3 CC (6GK6015-0AL20-1AD1) minden verziója;
- RUGGEDCOM APE1808CLA-S5 (6GK6015-0AL20-1AF0) minden verziója;
- RUGGEDCOM APE1808CLA-S5 CC (6GK6015-0AL20-1AF1) minden verziója;
- RUGGEDCOM APE1808LNX (6GK6015-0AL20-0GH0) minden verziója;
- RUGGEDCOM APE1808LNX CC (6GK6015-0AL20-0GH1) minden verziója;
- RUGGEDCOM APE1808W10 (6GK6015-0AL20-0GJ0) minden verziója;
- RUGGEDCOM APE1808W10 CC (6GK6015-0AL20-0GJ1) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- TOCTOU Race Condition (CVE-2022-30774)/közepes;
- TOCTOU Race Condition (CVE-2022-31243)/közepes;
- TOCTOU Race Condition (CVE-2022-33906)/közepes;
- TOCTOU Race Condition (CVE-2022-33907)/közepes;
- TOCTOU Race Condition (CVE-2022-33908)/súlyos;
- TOCTOU Race Condition (CVE-2022-33982)/közepes;
- TOCTOU Race Condition (CVE-2022-33984)/közepes;
Javítás: Nincs információ, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-08
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- TIA Multiuser Server V14 minden verziója;
- TIA Multiuser Server V15 minden, V15.1 Update 8-nál korábbi verziója;
- TIA Project-Server V1.1-nél korábbi verziója;
- TIA Project-Server V16 minden verziója;
- TIA Project-Server V17: All versions
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Untrusted Search Path (CVE-2022-35868)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-07
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, V2023.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-39157)/súlyos;
- Out-of-bounds Write (CVE-2022-43397)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-06
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated AC5100 (ACC) minden verziója;
- SiPass integrated AC5102 (ACC-G2) minden, V2.85.44-nél korábbi verziója;
- SiPass integrated AC5200 (ACC-Lite, ACC-4, ACC-8, ACC-16, ACC-32) minden verziója;
- SiPass integrated ACC-AP minden, V2.85.43-nál korábbi verziója;
- SiPass integrated Granta-MK3 (ACC-GRANTA) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-31808)/súlyos;
Javítás: Egyes érintett verziókhoz elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-05
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Brownfield Connectivity—Gateway minden, V1.10-nél korábbi verziója;
- Brownfield Connectivity—Gateway V1.10.1;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2021-41771)/súlyos;
- Improper Input Validation (CVE-2021-41772)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-44716)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-24921)/súlyos;
- Exposure of Resource to Wrong Sphere (CVE-2021-44717)/közepes;
- Allocation of Resources without Limits or Throttling (CVE-2022-24675)/súlyos;
- Improper Certificate Validation (CVE-2022-27536)/súlyos;
- Improper Input Validation (CVE-2022-28327)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-04
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Brownfield Connectivity Client minden, V2.15-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-1292)/kritikus;
- Improper Certificate Validation (CVE-2022-1343)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-1434)/közepes;
- Improper Resource Shutdown or Release (CVE-2022-1473)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-03
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X201-3P IRT (6GK5201-3BH00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X201-3P IRT PRO (6GK5201-3JR00-2BA6) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X202-2IRT (6GK5202-2BB00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X202-2P IRT (6GK5202-2BH00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X202-2P IRT PRO (6GK5202-2JR00-2BA6) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X204IRT (6GK5204-0BA00-2BA3) minden, V5.5.0-nál korábbi verziója;
- SCALANCE X204IRT PRO (6GK5204-0JA00-2BA6) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF201-3P IRT (6GK5201-3BH00-2BD2) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF202-2P IRT (6GK5202-2BH00-2BD2) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF204-2BA IRT (6GK5204-2AA00-2BD2) minden, V5.5.0-nál korábbi verziója;
- SCALANCE XF204IRT (6GK5204-0BA00-2BF2) minden, V5.5.0-nál korábbi verziója;
- SIPLUS NET SCALANCE X202-2P IRT (6AG1202-2BH00-2BA3) minden, V5.5.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2007-5846)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-02
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge SE2022 minden verziója;
- Solid Edge SE2022 minden, V2210 Update12-nél korábbi verziója;
- Solid Edge SE2023 minden, V2023 Update2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2021-32936)/súlyos;
- Out-of-bounds Read (CVE-2021-32938)/súlyos;
- Out-of-bounds Write (CVE-2021-32948)/súlyos;
- Out-of-bounds Write (CVE-2021-43336)/súlyos;
- Out-of-bounds Read (CVE-2021-43391)/súlyos;
- Out-of-bounds Write (CVE-2022-46345)/súlyos;
- Out-of-bounds Write (CVE-2022-46346)/súlyos;
- Out-of-bounds Write (CVE-2022-46347)/súlyos;
- Out-of-bounds Write (CVE-2022-46348)/súlyos;
- Out-of-bounds Read (CVE-2022-46349)/súlyos;
- Out-of-bounds Read (CVE-2023-22295)/alacsony;
- Out-of-bounds Read (CVE-2023-22321)/alacsony;
- Out-of-bounds Read (CVE-2023-22354)/alacsony;
- Heap-based Buffer Overflow (CVE-2023-22669)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-22670)/súlyos;
- Out-of-bounds Read (CVE-2023-22846)/alacsony;
- Out-of-bounds Write (CVE-2023-23579)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-24549)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-24550)/súlyos;
- Heap-based Buffer Overflow (CVE-2023-24551)/súlyos;
- Out-of-bounds Read (CVE-2023-24552)/súlyos;
- Out-of-bounds Read (CVE-2023-24553)/súlyos;
- Out-of-bounds Read (CVE-2023-24554)/súlyos;
- Out-of-bounds Read (CVE-2023-24555)/súlyos;
- Out-of-bounds Read (CVE-2023-24556)/súlyos;
- Out-of-bounds Read (CVE-2023-24557)/súlyos;
- Out-of-bounds Read (CVE-2023-24558)/súlyos;
- Out-of-bounds Read (CVE-2023-24559)/súlyos;
- Out-of-bounds Read (CVE-2023-24560)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-24561)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-24562)/súlyos;
- Access of Uninitialized Pointer (CVE-2023-24563)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-24564)/súlyos;
- Out-of-bounds Read (CVE-2023-24565)/súlyos;
- Stack-based Buffer Overflow (CVE-2023-24566)/súlyos;
- Use After Free (CVE-2023-24581)/súlyos;
- Out-of-bounds Read (CVE-2023-25140)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-047-01
Bejelentés dátuma: 2023.02.16.
Gyártó: Siemens
Érintett rendszer(ek):
- JT Open minden, V11.2.3.0-nál korábbi verziója;
- JT Utilities minden, V13.2.3.0-nál korábbi verziója;
- Parasolid V34.0 minden, V34.0.252-nél korábbi verziója;
- Parasolid V34.0 minden, V34.0.254-nél korábbi verziója;
- Parasolid V34.1 minden, V34.1.242-nél korábbi verziója;
- Parasolid V35.0 minden, V35.0.170-nál korábbi verziója;
- Parasolid V35.1 minden, V35.1.150-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-47936)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-47977)/súlyos;
- Out-of-bounds Read (CVE-2023-25140)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-23-047-12
Bejelentés dátuma: 2023.02.21.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSOFT iQ AppPortal (SW1DND-IQAPL-M) v1.00A-tól 1.29F-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- HTTP Request Smuggling (CVE-2022-26377)/súlyos;
- Insufficient Verification of Data Authenticity (CVE-2022-31813)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-23-052-01
Bejelentés dátuma: 2023.02.16.
Gyártó: Becton, Dickinson and Company (BD)
Érintett rendszer(ek):
- Alaris Infusion Central 1.1-től 1.3.2-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Credentials Management Errors (CVE-2022-47376)/súlyos;
Javítás: Az érintett ügyfelekkel a gyártó fogja keresni a kapcsolatot.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-047-01
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.