Bejelentés dátuma: 2022.12.13.
Gyártók: ICONICS, Mitsubishi Electric 
Érintett rendszer(ek):
- ICONICS Suite (beleértve a GENESIS64, Hyper Historian, AnalytiX és MobileHMI termékeket is);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-40264)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-347-01

Bejelentés dátuma: 2022.12.13.
Gyártó: Schneider Electric 
Érintett rendszer(ek):
- APC Easy UPS Online 2.5-GA és korábbi verziói (Windows 7, 10, 11, Windows Server 2016, 2019, 2022);
- APC Easy UPS Online 2.5-GA-01-22261 és korábbi verziói (Windows 11, Windows Server 2019, 2022);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2022-42970)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2022-42971)/kritikus;
- Incorrect Permission Assignment for Critical Resource (CVE-2022-42972)/súlyos;
- Use of Hard-coded Credentials (CVE-2022-42973)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Schneider Electric 
Érintett rendszer(ek):
- EcoStruxure Power Commission V2.25 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authorization (CVE-2022-4062)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.12.13.
Gyártó: Schneider Electric 
Érintett rendszer(ek):
- SAITEL DR RTU Baseline_11.06.01-től Baseline_11.06.14-ig terjedő firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds write (CVE-2020-6996)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.12.13.
Gyártó: Contec 
Érintett rendszer(ek):
- CONPROSYS HMI System 3.4.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-44456)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-347-03

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- APOGEE PXC sorozatú eszközök (BACnet) minden, 3.5.5-ösnél korábbi verziója;
- APOGEE PXC sorozatú eszközök (P2 Ethernet) minden, 2.8.20-asnél korábbi verziója;
- TALON TC sorozatú eszközök (BACnet) minden, 3.5.5-ösnél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Predictable Exact Value from Previous Values (CVE-2020-28388)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Calibre ICE 2022.4-es és újabb verziói;
- Mcenter 5.2.1.0 és újabb verziói;
- SCALANCE X-200RNA switch család 3.2.7-es és újabb verziói;
- SICAM GridPass (6MD7711-2AA00-1EA0) 1.80-as és újabb verziói;
- SIMATIC RTLS Locating Manager (6GT2780-0DA00) 2.13-as és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Classic Buffer Overflow (CVE-2022-3602)/súlyos;
- Classic Buffer Overflow (CVE-2022-3786)/súlyos;
Javítás: Egy érintett termékhez már elérhető a javítást tartalmazó Béta-verzió, de minden máshoz csak a kockázatcsökkentő intézkedéseket publikálta a gyártó.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Polarion ALM (application lifecycle management software) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Injection (CVE-2022-46265)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Simcenter STAR-CCM+ (computational fluid dynamics software) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2022-43517)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézekdések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC WinCC OA HMI V3.15 minden verziója;
- SIMATIC WinCC OA HMI V3.16 minden, V3.16 P035-nél korábbi verziója;
- SIMATIC WinCC OA HMI V3.17 minden, V3.17 P024-nél korábbi verziója; 
- SIMATIC WinCC OA HMI V3.18 minden, V3.18 P014-nél korábbi verziója; 
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Argument Injection (CVE-2022-44731)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens PLM Help Server (documentation server)
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-44575)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) minden verziója;
- RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) minden verziója;
- SCALANCE M804PB (6GK5804-0AP00-2AA2) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex A) minden verziója;
- SCALANCE M812-1 ADSL-Router (Annex B) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex A) minden verziója;
- SCALANCE M816-1 ADSL-Router (Annex B) minden verziója;
- SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) minden verziója;
- SCALANCE M874-2 (6GK5874-2AA00-2AA2) minden verziója;
- SCALANCE M874-3 (6GK5874-3AA00-2AA2) minden verziója;
- SCALANCE M876-3 (EVDO) (6GK5876-3AA02-2BA2) minden verziója;
- SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) minden verziója;
- SCALANCE M876-4 (6GK5876-4AA10-2BA2) minden verziója;
- SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) minden verziója;
- SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) minden verziója;
- SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) minden verziója;
- SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) minden verziója;
- SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) minden verziója;
- SCALANCE S615 (6GK5615-0AA00-2AA2) minden verziója;
- SCALANCE S615 EEC (6GK5615-0AA01-2AA2) minden verziója;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden, V2.3-nál korábbi verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden, V2.3-nál újabb és V3.0-nál korábbi verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0TA0) minden verziója;
- SCALANCE W1748-1 M12 (6GK5748-1GY01-0AA0) minden verziója;
- SCALANCE W1788-1 M12 (6GK5788-1GY01-0AA0) minden verziója;
- SCALANCE W1788-2 EEC M12 (6GK5788-2GY01-0TA0) minden verziója;
- SCALANCE W1788-2 M12 (6GK5788-2GY01-0AA0) minden verziója;
- SCALANCE W1788-2IA M12 (6GK5788-2HY01-0AA0) minden verziója;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AA0) minden verziója;
- SCALANCE W721-1 RJ45 (6GK5721-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AA0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AB0) minden verziója;
- SCALANCE W722-1 RJ45 (6GK5722-1FC00-0AC0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AB0) minden verziója;
- SCALANCE W734-1 RJ45 (6GK5734-1FX00-0AA6) minden verziója;
- SCALANCE W734-1 RJ45 (USA) (6GK5734-1FX00-0AB6) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AA0) minden verziója;
- SCALANCE W738-1 M12 (6GK5738-1GY00-0AB0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AA0) minden verziója;
- SCALANCE W748-1 M12 (6GK5748-1GD00-0AB0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AA0) minden verziója;
- SCALANCE W748-1 RJ45 (6GK5748-1FC00-0AB0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AA0) minden verziója;
- SCALANCE W761-1 RJ45 (6GK5761-1FC00-0AB0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TA0) minden verziója;
- SCALANCE W774-1 M12 EEC (6GK5774-1FY00-0TB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AB0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AC0) minden verziója;
- SCALANCE W774-1 RJ45 (6GK5774-1FX00-0AA6) minden verziója;
- SCALANCE W774-1 RJ45 (USA) (6GK5774-1FX00-0AB6) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AA0) minden verziója;
- SCALANCE W778-1 M12 (6GK5778-1GY00-0AB0) minden verziója;
- SCALANCE W778-1 M12 EEC (6GK5778-1GY00-0TA0) minden verziója;
- SCALANCE W778-1 M12 EEC (USA) (6GK5778-1GY00-0TB0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AA0) minden verziója;
- SCALANCE W786-1 RJ45 (6GK5786-1FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AA0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AB0) minden verziója;
- SCALANCE W786-2 RJ45 (6GK5786-2FC00-0AC0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AA0) minden verziója;
- SCALANCE W786-2 SFP (6GK5786-2FE00-0AB0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AA0) minden verziója;
- SCALANCE W786-2IA RJ45 (6GK5786-2HC00-0AB0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AA0) minden verziója;
- SCALANCE W788-1 M12 (6GK5788-1GD00-0AB0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AA0) minden verziója;
- SCALANCE W788-1 RJ45 (6GK5788-1FC00-0AB0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AA0) minden verziója;
- SCALANCE W788-2 M12 (6GK5788-2GD00-0AB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TA0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TB0) minden verziója;
- SCALANCE W788-2 M12 EEC (6GK5788-2GD00-0TC0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AA0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AB0) minden verziója;
- SCALANCE W788-2 RJ45 (6GK5788-2FC00-0AC0) minden verziója;
- SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) minden verziója;
- SCALANCE WAM766-1 (6GK5766-1GE00-7DA0) minden verziója;
- SCALANCE WAM766-1 (6GK5766-1GE00-7DB0) minden verziója;
- SCALANCE WAM766-1 6GHz (6GK5766-1JE00-7DA0) minden verziója;
- SCALANCE WAM766-1 EEC (6GK5766-1GE00-7TA0) minden verziója;
- SCALANCE WAM766-1 EEC (6GK5766-1GE00-7TB0) minden verziója;
- SCALANCE WAM766-1 EEC 6GHz (6GK5766-1JE00-7TA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) minden verziója;
- SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) minden verziója;
- SCALANCE WUM766-1 (6GK5766-1GE00-3DA0) minden verziója;
- SCALANCE WUM766-1 (6GK5766-1GE00-3DB0) minden verziója;
- SCALANCE WUM766-1 6GHz (6GK5766-1JE00-3DA0) minden verziója;
- SCALANCE XB205-3 (SC, PN) (6GK5205-3BB00-2AB2) minden verziója;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BD00-2TB2) minden verziója;
- SCALANCE XB205-3 (ST, E/IP) (6GK5205-3BB00-2TB2) minden verziója;
- SCALANCE XB205-3 (ST, PN) (6GK5205-3BD00-2AB2) minden verziója;
- SCALANCE XB205-3LD (SC, E/IP) (6GK5205-3BF00-2TB2) minden verziója;
- SCALANCE XB205-3LD (SC, PN) (6GK5205-3BF00-2AB2) minden verziója;
- SCALANCE XB208 (E/IP) (6GK5208-0BA00-2TB2) minden verziója;
- SCALANCE XB208 (PN) (6GK5208-0BA00-2AB2) minden verziója;
- SCALANCE XB213-3 (SC, E/IP) (6GK5213-3BD00-2TB2) minden verziója;
- SCALANCE XB213-3 (SC, PN) (6GK5213-3BD00-2AB2) minden verziója;
- SCALANCE XB213-3 (ST, E/IP) (6GK5213-3BB00-2TB2) minden verziója;
- SCALANCE XB213-3 (ST, PN) (6GK5213-3BB00-2AB2) minden verziója;
- SCALANCE XB213-3LD (SC, E/IP) (6GK5213-3BF00-2TB2) minden verziója;
- SCALANCE XB213-3LD (SC, PN) (6GK5213-3BF00-2AB2) minden verziója;
- SCALANCE XB216 (E/IP) (6GK5216-0BA00-2TB2) minden verziója;
- SCALANCE XB216 (PN) (6GK5216-0BA00-2AB2) minden verziója;
- SCALANCE XC206-2 (SC) (6GK5206-2BD00-2AC2) minden verziója;
- SCALANCE XC206-2 (ST/BFOC) (6GK5206-2BB00-2AC2) minden verziója;
- SCALANCE XC206-2G PoE (6GK5206-2RS00-2AC2) minden verziója;
- SCALANCE XC206-2G PoE (54 V DC) (6GK5206-2RS00-5AC2) minden verziója;
- SCALANCE XC206-2G PoE EEC (54 V DC) (6GK5206-2RS00-5FC2) minden verziója;
- SCALANCE XC206-2SFP (6GK5206-2BS00-2AC2) minden verziója;
- SCALANCE XC206-2SFP EEC (6GK5206-2BS00-2FC2) minden verziója;
- SCALANCE XC206-2SFP G (6GK5206-2GS00-2AC2) minden verziója;
- SCALANCE XC206-2SFP G (EIP DEF.) (6GK5206-2GS00-2TC2) minden verziója;
- SCALANCE XC206-2SFP G EEC (6GK5206-2GS00-2FC2) minden verziója;
- SCALANCE XC208 (6GK5208-0BA00-2AC2) minden verziója;
- SCALANCE XC208EEC (6GK5208-0BA00-2FC2) minden verziója;
- SCALANCE XC208G (6GK5208-0GA00-2AC2) minden verziója;
- SCALANCE XC208G (EIP def.) (6GK5208-0GA00-2TC2) minden verziója;
- SCALANCE XC208G EEC (6GK5208-0GA00-2FC2) minden verziója;
- SCALANCE XC208G PoE (6GK5208-0RA00-2AC2) minden verziója;
- SCALANCE XC208G PoE (54 V DC) (6GK5208-0RA00-5AC2) minden verziója;
- SCALANCE XC216 (6GK5216-0BA00-2AC2) minden verziója;
- SCALANCE XC216-3G PoE (6GK5216-3RS00-2AC2) minden verziója;
- SCALANCE XC216-3G PoE (54 V DC) (6GK5216-3RS00-5AC2) minden verziója;
- SCALANCE XC216-4C (6GK5216-4BS00-2AC2) minden verziója;
- SCALANCE XC216-4C G (6GK5216-4GS00-2AC2) minden verziója;
- SCALANCE XC216-4C G (EIP Def.) (6GK5216-4GS00-2TC2) minden verziója;
- SCALANCE XC216-4C G EEC (6GK5216-4GS00-2FC2) minden verziója;
- SCALANCE XC216EEC (6GK5216-0BA00-2FC2) minden verziója;
- SCALANCE XC224 (6GK5224-0BA00-2AC2) minden verziója;
- SCALANCE XC224-4C G (6GK5224-4GS00-2AC2) minden verziója;
- SCALANCE XC224-4C G (EIP Def.) (6GK5224-4GS00-2TC2) minden verziója;
- SCALANCE XC224-4C G EEC (6GK5224-4GS00-2FC2) minden verziója;
- SCALANCE XF204 (6GK5204-0BA00-2GF2) minden verziója;
- SCALANCE XF204 DNA (6GK5204-0BA00-2YF2) minden verziója;
- SCALANCE XF204-2BA (6GK5204-2AA00-2GF2) minden verziója;
- SCALANCE XF204-2BA DNA (6GK5204-2AA00-2YF2) minden verziója;
- SCALANCE XM408-4C (6GK5408-4GP00-2AM2) minden verziója;
- SCALANCE XM408-4C (L3 int.) (6GK5408-4GQ00-2AM2) minden verziója;
- SCALANCE XM408-8C (6GK5408-8GS00-2AM2) minden verziója;
- SCALANCE XM408-8C (L3 int.) (6GK5408-8GR00-2AM2) minden verziója;
- SCALANCE XM416-4C (6GK5416-4GS00-2AM2) minden verziója;
- SCALANCE XM416-4C (L3 int.) (6GK5416-4GR00-2AM2) minden verziója;
- SCALANCE XP208 (6GK5208-0HA00-2AS6) minden verziója;
- SCALANCE XP208 (Ethernet/IP) (6GK5208-0HA00-2TS6) minden verziója;
- SCALANCE XP208EEC (6GK5208-0HA00-2ES6) minden verziója;
- SCALANCE XP208PoE EEC (6GK5208-0UA00-5ES6) minden verziója;
- SCALANCE XP216 (6GK5216-0HA00-2AS6) minden verziója;
- SCALANCE XP216 (Ethernet/IP) (6GK5216-0HA00-2TS6) minden verziója;
- SCALANCE XP216EEC (6GK5216-0HA00-2ES6) minden verziója;
- SCALANCE XP216POE EEC (6GK5216-0UA00-5ES6) minden verziója;
- SCALANCE XR324WG (24 x FE, AC 230V) (6GK5324-0BA00-3AR3) minden verziója;
- SCALANCE XR324WG (24 X FE, DC 24V) (6GK5324-0BA00-2AR3) minden verziója;
- SCALANCE XR326-2C PoE WG (6GK5326-2QS00-3AR3) minden verziója;
- SCALANCE XR326-2C PoE WG (without UL) (6GK5326-2QS00-3RR3) minden verziója;
- SCALANCE XR328-4C WG (24XFE, 4XGE, 24V) (6GK5328-4FS00-2AR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (6GK5328-4FS00-2RR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (6GK5328-4FS00-3AR3) minden verziója;
- SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (6GK5328-4FS00-3RR3) minden verziója;
- SCALANCE XR328-4C WG (28xGE, AC 230V) (6GK5328-4SS00-3AR3) minden verziója;
- SCALANCE XR328-4C WG (28xGE, DC 24V) (6GK5328-4SS00-2AR3) minden verziója;
- SCALANCE XR524-8C, 1x230V (6GK5524-8GS00-3AR2) minden verziója;
- SCALANCE XR524-8C, 1x230V (L3 int.) (6GK5524-8GR00-3AR2) minden verziója;
- SCALANCE XR524-8C, 24V (6GK5524-8GS00-2AR2) minden verziója;
- SCALANCE XR524-8C, 24V (L3 int.) (6GK5524-8GR00-2AR2) minden verziója;
- SCALANCE XR524-8C, 2x230V (6GK5524-8GS00-4AR2) minden verziója;
- SCALANCE XR524-8C, 2x230V (L3 int.) (6GK5524-8GR00-4AR2) minden verziója;
- SCALANCE XR526-8C, 1x230V (6GK5526-8GS00-3AR2) minden verziója;
- SCALANCE XR526-8C, 1x230V (L3 int.) (6GK5526-8GR00-3AR2) minden verziója;
- SCALANCE XR526-8C, 24V (6GK5526-8GS00-2AR2) minden verziója;
- SCALANCE XR526-8C, 24V (L3 int.) (6GK5526-8GR00-2AR2) minden verziója;
- SCALANCE XR526-8C, 2x230V (6GK5526-8GS00-4AR2) minden verziója;
- SCALANCE XR526-8C, 2x230V (L3 int.) (6GK5526-8GR00-4AR2) minden verziója;
- SCALANCE XR528-6M (6GK5528-0AA00-2AR2) minden verziója;
- SCALANCE XR528-6M (2HR2, L3 int.) (6GK5528-0AR00-2HR2) minden verziója;
- SCALANCE XR528-6M (2HR2) (6GK5528-0AA00-2HR2) minden verziója;
- SCALANCE XR528-6M (L3 int.) (6GK5528-0AR00-2AR2) minden verziója;
- SCALANCE XR552-12M (6GK5552-0AA00-2AR2) minden verziója;
- SCALANCE XR552-12M (2HR2, L3 int.) (6GK5552-0AR00-2AR2) minden verziója;
- SCALANCE XR552-12M (2HR2) (6GK5552-0AA00-2HR2) minden verziója;
- SCALANCE XR552-12M (2HR2) (6GK5552-0AR00-2HR2) minden verziója;
- SIPLUS NET SCALANCE XC206-2 (6AG1206-2BB00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC206-2SFP (6AG1206-2BS00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC208 (6AG1208-0BA00-7AC2) minden verziója;
- SIPLUS NET SCALANCE XC216-4C (6AG1216-4BS00-7AC2) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Code Injection (CVE-2022-34821)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2022-46140)/közepes;
- Storing Passwords in a Recoverable Format (CVE-2022-46142)/közepes;
- Improper Validation of Specified Quantity in Input (CVE-2022-46143)/alacsony;
- Improper Control of a Resource Through its Lifetime (CVE-2022-46144)/közepes;
Javítás: Egyes érintett termékek esetén elérhető.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Drive Controller család minden, V3.0.1-nél korábbi verziója;
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1200 CPU family (beleértve a SIPLUS változatokat is) V4.6.0-nál korábbi verziója;
- SIMATIC S7-1500 CPU family (beleértve az ET200 CPU-kat és a SIPLUS változatokat is) V3.0.1-nél korábbi verziója;
- SIMATIC S7-1500 Software Controller minden verziója;
- SIMATIC S7-PLCSIM Advanced minden, V5.0-nál korábbi verziója;
- SIPLUS TIM 1531 IRC (6AG1543-1MX00-7XE0) minden verziója;
- TIM 1531 IRC (6GK7543-1MX00-0XE0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-40365)/súlyos;
- Improper Validation of Specified Quantity in Input (CVE-2021-44693)/közepes;
- Improper Validation of Specified Type of Input (CVE-2021-44694)/közepes;
- Improper Validation of Syntactic Correctness of Input (CVE-2021-44695)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE X204RNA (HSR) (6GK5204-0BA00-2MB2) minden, V3.2.7-nél korábbi verziója;
- SCALANCE X204RNA (PRP) (6GK5204-0BA00-2KB2) minden, V3.2.7-nél korábbi verziója;
- SCALANCE X204RNA EEC (HSR) (6GK5204-0BS00-2NA3) minden, V3.2.7-nél korábbi verziója;
- SCALANCE X204RNA EEC (PRP) (6GK5204-0BS00-3LA3) minden, V3.2.7-nél korábbi verziója;
- SCALANCE X204RNA EEC (PRP/HSR) (6GK5204-0BS00-3PA3) minden, V3.2.7-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Basic XSS (CVE-2022-46350)/súlyos;
- Uncontrolled Resource Consumption (CVE-2022-46351)/közepes;
- Uncontrolled Resource Consumption (CVE-2022-46352)/súlyos;
- Use of Insufficiently Random Values (CVE-2022-46353)/súlyos;
- Improper Access Control (CVE-2022-46354)/alacsony;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2022-46355)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM PAS/PQS minden, V8.06-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2022-43722)/súlyos;
- Validation of Specified Type of Input (CVE-2022-43723)/súlyos;
- Transmission of Sensitive Information (CVE-2022-43724)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-849072.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden verziója;
- Teamcenter Visualization V13.2 minden, V13.2.0.12-nél korábbi verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.8-nál korábbi verziója;
- Teamcenter Visualization V13.3 V13.3.0.8-as és újabb verziói;
- Teamcenter Visualization V14.0 minden, V14.0.0.4-nél korábbi verziója;
- Teamcenter Visualization V14.0 V14.0.0.4-es és újabb verziói;
- Teamcenter Visualization V14.1 minden, V14.1.0.6-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference (CVE-2022-41278)/alacsony;
- NULL Pointer Dereference (CVE-2022-41279)/alacsony;
- NULL Pointer Dereference (CVE-2022-41280)/alacsony;
- Out-of-bounds Read (CVE-2022-41281)/súlyos;
- Out-of-bounds Read (CVE-2022-41282)/súlyos;
- Out-of-bounds Read (CVE-2022-41283)/súlyos;
- Out-of-bounds Read (CVE-2022-41284)/súlyos;
- Use After Free (CVE-2022-41285)/súlyos;
- Out-of-bounds Read (CVE-2022-41286)/súlyos;
- Divide By Zero (CVE-2022-41287)/alacsony;
- Allocation of Resources Without Limits or Throttling (CVE-2022-41288)/alacsony
- Out-of-bounds Read (CVE-2022-45484)/súlyos;
Javítás: Egyes érintett termékekre elérhető.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-700053.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V33.1 minden, V33.1.264-nél korábbi verziója;
- Parasolid V34.0 minden, V34.0.252-nél korábbi verziója;
- Parasolid V34.1 minden, V34.1.242-nél korábbi verziója;
- Parasolid V35.0 minden, V35.0.170-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-46345)/súlyos;
- Out-of-bounds Write (CVE-2022-46346)/súlyos;
- Out-of-bounds Write (CVE-2022-46347)/súlyos;
- Out-of-bounds Write (CVE-2022-46348)/súlyos;
- Out-of-bounds Read (CVE-2022-46349)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-588101.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 5 6MD85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 6MD85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 6MD86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 6MD86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 6MD89 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 6MU85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7KE85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7KE85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SA82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SA82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SA86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SA86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SA87 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SA87 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SD82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SD82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SD86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SD86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SD87 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SD87 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ81 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ81 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SJ82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SJ85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SJ86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SK82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SK82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SK85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SK85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SL82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7SL82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7SL86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SL86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SL87 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SL87 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SS85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7SS85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7ST85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7ST85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7SX85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7UM85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7UT82 berendezések (CP100-as CPU változat) minden verziója;
- SIPROTEC 5 7UT82 berendezések (CP150-es CPU változat) minden verziója;
- SIPROTEC 5 7UT85 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7UT85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7UT86 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7UT86 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7UT87 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7UT87 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7VE85 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 7VK87 berendezések (CP200-as CPU változat) minden verziója;
- SIPROTEC 5 7VK87 berendezések (CP300-as CPU változat) minden verziója;
- SIPROTEC 5 ETH-BA-2EL kommunikációs modul minden verziója;
- SIPROTEC 5 ETH-BB-2FO kommunikációs modul minden verziója;
- SIPROTEC 5 ETH-BD-2FO kommunikációs modul minden verziója;
- SIPROTEC 5 Compact 7SX800 berendezések (CP050-es CPU változat) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-45044)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-552874.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE SC622-2C (6GK5622-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
- SCALANCE SC626-2C (6GK5626-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
- SCALANCE SC632-2C (6GK5632-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
- SCALANCE SC636-2C (6GK5636-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
- SCALANCE SC642-2C (6GK5642-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
- SCALANCE SC646-2C (6GK5646-2GS00-2AC2) minden, V3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2018-25032)/súlyos;
- Use After Free (CVE-2022-30065)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32205)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2022-32206)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-333517.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Email Connector minden, V2.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-45936)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-224632.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 5 6MD85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 6MD85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 6MD86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 6MD86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 6MD89 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 6MU85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7KE85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7KE85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SA82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SA86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SA86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SA87 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SA87 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SD82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SD86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SD86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SD87 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SD87 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ81 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SJ86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SK82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SK85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SK85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SL82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SL86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SL86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SL87 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SL87 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SS85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SS85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7ST85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7ST85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7SX85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UM85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT82 berendezések (CP100-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT85 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT86 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT86 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT87 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7UT87 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7VE85 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7VK87 berendezések (CP200-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 7VK87 berendezések (CP300-as CPU változata) minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 ETH-BA-2EL kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 ETH-BB-2FO kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 ETH-BD-2FO kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 USART-AB-1EL kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 USART-AC-2EL kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 USART-AD-1FO kommunikációs modul minden, V7.80-asnál korábbi verziója;
- SIPROTEC 5 USART-AE-2FO kommunikációs modul minden, V7.80-asnál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Resource Management Errors (CVE-2015-6574)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-223771.pdf

Bejelentés dátuma: 2022.12.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Workflow Commons minden, V2.4.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Access Control (CVE-2022-46664)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-210822.pdf

Bejelentés dátuma: 2022.12.15.
Gyártó: Prosys OPC
Érintett rendszer(ek):
- Prosys OPC UA Simulation Server 5.4.0-nál korábbi verziói;
- Prosys OPC UA Modbus Server 1.4.18-5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2022-2967)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-349-01

Bejelentés dátuma: 2022.12.20.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Fuji Electric Tellus Lite V-Simulator 4.0.12.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-3087)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-3085)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-01

Bejelentés dátuma: 2022.12.20.
Gyártó: Rockwell Automation 
Érintett rendszer(ek):
- CompactLogix 5370 20–tól 33-ig terjedő verziói;
- Compact GuardLogix 5370 28–tól 33-ig terjedő verziói;
- ControlLogix 5570 20–tól 33-ig terjedő verziói;
- ControlLogix5570 redundancy 20–tól 33-ig terjedő verziói;
- GuardLogix 5570 20–tól 33-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-3157)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-02

Bejelentés dátuma: 2022.12.20.
Gyártó: ARC Informatique
Érintett rendszer(ek):
- PcVue 15 15.2.2-ig terjedő verziói;
- PcVue 8.10 15.2.3-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2022-4312)/közepes;
- Insertion of Sensitive Information into Log File (CVE-2022-4311)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-03

Bejelentés dátuma: 2022.12.20.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- MicroLogix 1100 minden verziója;
- MicroLogix 1400 A 7.000 és korábbi verziói;
- MicroLogix 1400 B/C 21.007 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-46670)/súlyos;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2022-3166)/súlyos;
Javítás: Nincs a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-04

Bejelentés dátuma: 2022.12.20.
Gyártó: Delta Industrial Automation
Érintett rendszer(ek):
- DX-3021L9-es típusú 4G routerek V1.24-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-4616)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-05

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt kb. másfél évtizedben gyökeresen megváltozott a számítógépes rendszerek biztonságának világ, beleértve a különböző ipari és egyéb folyamatvezérlő rendszerek biztonságát is. Sajnos ez a változás egyáltalán nem pozitív irányú, így egyre gyorsuló ütemben nő a kompromittált rendszerek száma, ami magával hozta a digitális nyomrögzítés (forensics) és incidenskezelés képességeire vonatkozó igényt. Azonban a különböző folyamatirányító rendszerek (és különösen az ipari folyamatirányító rendszerek) esetén az incidenskezelés és a különböző kibertámadásokkal kapcsolatos információk gyűjtése nagyon nagy mértékben különbözhet és különbözik az IT rendszereknél megszokott eljárásoktól. Különösen igaz ez a beágyazott folyamatirányító berendezések (RTU-k, PLC-k, stb.) esetén. Az S4x konferencia egyik kiemelt projektje a PLC-k és egyéb beágyazott OT rendszerekkel kapcsolatos nyomrögzítési és incidenskezelési tevékenységek fejlesztésére koncentrál.

A projektről bővebben az S4x főszervezőjének (Dale Peterson-nak) a blogján lehet olvasni, az S4x22 konferencián a témában tartott képzésről készült, több, mint egy órás felvétel a YouTube-on érhető el.

Bejelentés dátuma: 2022.12.08.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- CompactLogix 5380 vezérlők 31.011-es és újabb firmware-verziói;
- Compact GuardLogix 5380 vezérlők 31.011-es és újabb firmware-verziói;
- CompactLogix 5480 controllers: firmware version 32.011 and later 
- ControlLogix 5580 vezérlők 31.011-es és újabb firmware-verziói;
- GuardLogix 5580 vezérlők 31.011-es és újabb firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-3752)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-342-03

Bejelentés dátuma: 2022.12.08.
Gyártó: AVEVA 
Érintett rendszer(ek):
- InTouch Access Anywhere (Remote HMI) 2020 R2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Relative Path Traversal (CVE-2022-23854)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-342-02

Bejelentés dátuma: 2022.12.08.
Gyártó: Advantech 
Érintett rendszer(ek):
- iView management 5.7.04.6469-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- SQL Injection (CVE-2022-3323)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-342-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Ha bekövetkezik egy incidens, akkor az incidenskezelési folyamatban előbb vagy utóbb (remélhetőleg inkább előbb) eljön a helyreállítás fázisa. A NERC CIP-009-6 ezekre a helyreállítási folyamatokra vonatkozó előírásokat tartalmazza.

A CIP-009-6 első fejezete a helyreállítási tervek tartalmazniuk kell a helyreállítási tervek aktiválásának feltételeit, a folyamatban résztvevők szerepét és felelősségét, valamint a helyreállításhoz szükséges mentési és adattárolási folyamatok leírásait. A mentésekre vonatkozóan ellenőrzési eljárásokat is ki kell dolgozni.

A második fejezet a helyreállítási tervek implementálási és tesztelési követelményeiről szól, az első fejezetben meghatározott terveket például legalább 15 havonta kötelező tesztelni. Erre megfelelő lehet egy valós incidens után végrehajtott helyreállítási tevékenység, TTX (tabletop exercise vagyis papíron - elméletben - végrehajtott teszt) vagy egy üzemeltetési gyakorlat keretében végrehajtott helyreállítás. Szintén 15 havonta legalább egyszer tesztelni kell a helyreállításhoz használható adatok egy kiválasztott mintáját, ezzel biztosítva, hogy a mentett adatok használhatóak lesznek, amikor a helyreállítási tervet éles helyzetben kell végrehajtani. Az egyes (első fejezetben felsoroltakon túli) helyreállítási terveket minden 36 naptári hónapban legalább egyszer tesztelni kell.

A harmadik fejezetben a helyreállítási tervekkel kapcsolatos felülvizsgálati, frissítési és kommunikációs tevékenységekre vonatkozók előírásokat tartalmazzák. Ezek keretében például a helyreállítási tervek tesztelése vagy éles esetben történt végrehajtását követő nem több, mint 90 napon belül dokumentálni kell a helyreállítás során levont tanulságokat, ezek alapján frissíteni kell a helyreállítási terveket és a frissítést ismertetni kell a terv végrehajtásában érintett személyekkel. A szerep- és felelősségi körökben bekövetkezett változások után 60 napon belül el kell végezni a helyreállítási tervek frissítését és értesíteni kell az érintett személyeket és csoportokat.

A NERC CIP-009 jelenleg (2022.10.31-én) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-009-6.pdf

Bejelentés dátuma: 2022.11.22.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-8100A-ME-T System Image v1.0-tól v1.6-ig terjedő verziói;
- UC-2100 System Image Versions v1.0-tól v1.12-ig terjedő verziói;
- UC-2100-W System Image Versions v1.0-tól v 1.12-ig terjedő verziói;
- UC-3100 System Image Versions v1.0-tól v1.6-ig terjedő verziói;
- UC-5100 System Image Versions v1.0-tól v1.4-ig terjedő verziói;
- UC-8100 System Image Versions v3.0-tól v3.5-ig terjedő verziói;
- UC-8100-ME-T System Image Versions v3.0 és v3.1 verziói;
- UC-8200 System Image v1.0-tól v1.5-ig terjedő verziói;
- AIG-300 System Image v1.0-tól v1.4-ig terjedő verziói;
- UC-8410A Debian 9 System Image Versions v4.0.2 és v4.1.2 verziói;
- UC-8580 Debian 9 System Image Versions v2.0 és v2.1 verziói;
- UC-8540 Debian 9 System Image Versions v2.0 és v2.1 verziói;
- DA-662C-16-LX (GLB) System Image Versions v1.0.2-től v1.1.2-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Privilege Escalation (CVE-2022-3088)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-05

Bejelentés dátuma: 2022.11.22.
Gyártó: GE
Érintett rendszer(ek):
- CIMPLICITY 2022-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Access of Uninitialized Pointer (CVE-2022-3084)/súlyos;
- Access of Uninitialized Pointer (CVE-2022-2952)/súlyos;
- Heap-based Buffer Overflow (CVE-2022-2948)/súlyos;
- Untrusted Pointer Dereference (CVE-2022-2002)/súlyos;
- Out-of-bounds Write (CVE-2022-3092)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-04

Bejelentés dátuma: 2022.11.22.
Gyártó: Phoenix Contact 
Érintett rendszer(ek):
- Automation Worx Software Suite Config+ 1.89-es és korábbi verziói;
- Automation Worx Software Suite PC Worx 1.89-es és korábbi verziói;
- Automation Worx Software Suite PC Worx Express 1.89-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-3461)/súlyos;
- Out-of-bounds Read (CVE-2022-3737)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-03

Bejelentés dátuma: 2022.11.22.
Gyártó: Digital Alert Systems
Érintett rendszer(ek):
- A DASDEC vészhelyzeti kommunikációs rendszer minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2019-18265)/közepes;
- Cross-site Scripting (CVE-2022-40204 )/közepes;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-02

Bejelentés dátuma: 2022.11.22.
Gyártó: AVEVA 
Érintett rendszer(ek):
- AVEVA Edge 2020 R2 SP1
- AVEVA Edge 2020 R2 SP1 w/ HF 2020.2.00.40
- AVEVA Edge 2020 R2 és minden korábbi verziója (korábbi nevén InduSoft Web Studio)
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2016-2542)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-42794)/közepes;
- Improper Access Control (CVE-2021-42796)/kritikus;
- Path Traversal (CVE-2021-42797)súlyos;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-01

Bejelentés dátuma: 2022.11.23.
Gyártó: Belden-Hirschmann
Érintett rendszer(ek):
- Hirschmann HiLCOS OpenBAT, WLC, BAT450, BAT867, BATOne, BAT-Controler Virtual 8.60 és újabb verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Infinite loop (CVE-2021-42260)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.belden.com/dfsmedia/f1e38517e0cd4caa8b1acb6619890f5e/15089-source

Bejelentés dátuma: 2022.11.23.
Gyártó: Belden-Hirschmann
Érintett rendszer(ek):
- Hirschmann BAT-C2 09.12.01.00R01 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-40282)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.belden.com/dfsmedia/f1e38517e0cd4caa8b1acb6619890f5e/15088-source/

Bejelentés dátuma: 2022.11.23.
Gyártó: Belden-Hirschmann
Érintett rendszer(ek):
- Hirschmann BAT-C2 08.08.01.00R08 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command injection (CVE-2021-21872)/kritikus;
- Arbitrary Command Execution (CVE-2021-21873)/kritikus;
- Arbitrary Command Execution (CVE-2021-21875)/kritikus;
- Arbitrary Command Execution (CVE-2021-21876)/kritikus;
- Arbitrary Command Execution (CVE-2021-21877)/kritikus;
- Local File Inclusion (CVE-2021-21878)/közepes;
- Directory Traversal (CVE-2021-21879)/súlyos;
- Directory Traversal (CVE-2021-21880)/súlyos;
- OS Command injection (CVE-2021-21881)/kritikus;
- OS Command injection (CVE-2021-21882)/súlyos;
- OS Command injection (CVE-2021-21883)/kritikus;
- OS Command injection (CVE-2021-21884)/kritikus;
- Directory Traversal (CVE-2021-21885)/súlyos;
- Directory Traversal (CVE-2021-21886)/közepes;
- Stack-based Buffer Overflow (CVE-2021-21887)/kritikus;
- OS Command injection (CVE-2021-21888)/kritikus;
- Stack-based Buffer Overflow (CVE-2021-21889)/kritikus;
- Stack-based Buffer Overflow (CVE-2021-21890)/kritikus;
- Stack-based Buffer Overflow (CVE-2021-21891)/kritikus;
- Stack-based Buffer Overflow (CVE-2021-21892)/kritikus;
- Directory Traversal (CVE-2021-21894)/kritikus;
- Directory Traversal (CVE-2021-21895)/súlyos;
- Directory Traversal (CVE-2021-21896)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.belden.com/dfsmedia/f1e38517e0cd4caa8b1acb6619890f5e/15087-source/

Bejelentés dátuma: 2022.11.24.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5916 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
- EDR-810 sorozatú eszközök v5.12 és korábbi firmware-verziói;
- EDR-G902 sorozatú eszközök v5.7 és korábbi firmware-verziói;
- EDR-G903 sorozatú eszközök v5.7 és korábbi firmware-verziói;
- TN-4900 sorozatú eszközök v1.0-s firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (CVE-2022-41758)/n/a;
- Improper Input Validation (CVE-2022-41759)/n/a;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/multiple-routers-improper-input-validation-vulnerabilities

Bejelentés dátuma: 2022.11.25.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5916 sorozatú eszközök v3.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cookie Modification Privilege Escalation (n/a)/n/a
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/tn-5916-series-privilege-escalation-vulnerability

Bejelentés dátuma: 2022.11.25.
Gyártó: Omron
Érintett rendszer(ek):
- CX-Programmer v.9.77-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use-after-free (CVE-2022-43508)/súlyos;
- Out-of-bounds Write (CVE-2022-43509)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-43667)/súlyos;
Javítás: Elérhető
Link a publikációhoz: http://jvn.jp/en/vu/JVNVU92877622/index.html

Bejelentés dátuma: 2022.11.29.
Gyártó: Hitachi Energy 
Érintett rendszer(ek):
- PCM600 v2.11-es és korábbi verziói;
- 670 Connectivity Package 3.0-tól 3.4.1-ig terjedő verziói;
- 650 Connectivity Package 1.3-tól 2.4.1-ig terjedő verziói;
- SAM600-IO Connectivity Package 1.0-tól 1.2-ig terjedő verziói;
- GMS600 Connectivity Package 1.3-tól 1.3.1-ig terjedő verziói;
- PWC600 Connectivity Package 1.1-től 1.3-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2022-2513)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-02

Bejelentés dátuma: 2022.11.29.
Gyártó: Mitsubishi Electric 
Érintett rendszer(ek):
- GT27-es modell FTP szerverének 01.39.000 és korábbi verziói;
- GT25-ös modell FTP szerverének 01.39.000 és korábbi verziói;
- GT23-as modell FTP szerverének 01.39.000 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-40266)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-01

Bejelentés dátuma: 2022.11.29.
Gyártó: Mitsubishi Electric 
Érintett rendszer(ek):
- GX Works3 mérnöki szoftver 1.000A-tól 1.011M-ig terjedő verziói;
- GX Works3 mérnöki szoftver 1.015R-től 1.086Q-ig terjedő verziói;
- GX Works3 mérnöki szoftver 1.087R és későbbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information (CVE-2022-25164)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2022-29826)/közepes;
- Use of Hard-coded Password (CVE-2022-29825)/közepes;
- Use of Hard-coded Password (CVE-2022-29831)/súlyos;
- Insufficiently Protected Credentials (CVE-2022-29833)/közepes;
- Use of Hard-coded Cryptographic Key (CVE-2022-29827)/közepes;
- Use of Hard-coded Cryptographic Key (CVE-2022-29828)/közepes;
- Use of Hard-coded Cryptographic Key (CVE-2022-29829)/közepes;
- Use of Hard-coded Cryptographic Key (CVE-2022-29830)/kritikus;
- Cleartext Storage of Sensitive Information in Memory (CVE-2022-29832)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-05

Bejelentés dátuma: 2022.11.29.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-8580 sorozatú IIoT átjáró V1.1-es verziója;
- UC-8540 sorozatú IIoT átjáró V1.0-tól V1.2-ig terjedő verziói;
- UC-8410A sorozatú IIoT átjáró V2.2-es verziója;
- UC-8200 sorozatú IIoT átjáró V1.0-tól V2.4-ig terjedő verziói;
- UC-8100A-ME-T sorozatú IIoT átjáró V1.0-tól V1.1-ig terjedő verziói;
- UC-8100 sorozatú IIoT átjáró V1.2-től V1.3-ig terjedő verziói;
- UC-5100 sorozatú IIoT átjáró V1.2-es verziója; 
- UC-3100 sorozatú IIoT átjáró V1.2-től V2.0-ig terjedő verziói;
- UC-2100 sorozatú IIoT átjáró V1.3-tól V1.5-ig terjedő verziói;
- UC-2100-W sorozatú IIoT átjáró V1.3-tól V1.5-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Physical Access Control (CVE-2022-3086)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-04

Bejelentés dátuma: 2022.11.29.
Gyártó: Hitachi Energy 
Érintett rendszer(ek):
- MicroSCADA Pro/X SYS600 10.4-es és korábbi verziói;
- MicroSCADA Pro/X SYS600 9.4 FP2 Hotfix 4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-3388)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-333-03

Bejelentés dátuma: 2022.12.01.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Remote Compact Controller (RCC) 972 15.40-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2022-2640)/súlyos;
- Use of Hard-coded Cryptographic Key (CVE-2022-2641)/kritikus;
- Excessive Reliance on Global Variables (CVE-2022-2642)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-335-02

Bejelentés dátuma: 2022.12.01.
Gyártó: Mitsubishi Electric 
Érintett rendszer(ek):
- Mitsubishi Electric MELSEC iQ-R sorozat RJ71EN71 modelljének "65"-ös és korábbi firmware-verziói;
- R04/08/16/32/120ENCPU hálózati részegységének "65"-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-40265)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-335-01

Bejelentés dátuma: 2022.12.01.
Gyártó: Becton, Dickinson and Company (BD) 
Érintett rendszer(ek):
- BD BodyGuard;
- CME BodyGuard 323 (2. kiadás);
- CME BodyGuard 323 Color Vision (2. kiadás);
- CME BodyGuard 323 Color Vision (3. kiadás);
- CME BodyGuard Twins (2. kiadás);
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Protection Mechanism for Alternate Hardware Interface (CVE-2022-43557)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-22-335-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az ISA által kidolgozott 62443-as szabványcsalád az ipari automatizálási rendszerek kiberbiztonságának egyik megkerülhetetlen szabvány-csomagja, ennek legújabb, kiadás előtti véleményezés fázisába jutott eleme a 4-3-as szabvány, ami 62443-as szabványok ipari dolgok Internetére (vagyis az IIoT rendszerekre és eszközökre) történő alkalmazásának módját írja le.

A tervezett, 40 oldalas szabvány itt érhető el, a tervezettel kapcsolatos véleményeket pedig ezen a weboldalon lehet eljuttatni az ISA-nak.

Az Ipar 4.0-val eljött az idő, amikor már gyakorlatilag nincs olyan ipari szegmens, ahol ne használnának számítógépes folyamat-automatizálási megoldásokat, ennek ellenére szinte minden iparágnak újra és újra rá kell döbbennie, hogy bizony az ő rendszereik sem képeznek kivételt.

A TrendMicro még október végén publikálta egy új kutatásának eredményeit, amiben 4 CNC gyártó (a Haas, az Okuma, a Heidehain és a Fanuc) berendezéseinek kiberbiztonsági állapotát vizsgálta és 5 támadási osztály (eszköz-kompromittálás, eszköz-sérülés okozása, DoS, az eszköz eltérítése - illegális változatások elvégzése és adatlopás) 18 különböző támadási formájával kapcsolatos sérülékenységeket kerestek. A vizsgált gyártók termékei 10-15 sérülékenység által voltak érintettek, nem volt olyan sérülékenység, ami egyik vizsgált gyártó berendezéseiben se lennének megtalálhatóak, viszont 6 sérülékenység mind a négy vizsgált gyártó rendszereiben megtalálható volt.

A vizsgálat részletes eredményeiről a TrendMicro publikációjában lehet olvasni.

Bejelentés dátuma: 2022.11.11.
Gyártó: Aveva
Érintett rendszer(ek):
- InTouch Access Anywhere Secure Gateway 2020 R2
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- IPath Traversal (CVE-2022-23854)/n/a
Javítás: Nincs információ
Link a publikációhoz: https://cxsecurity.com/issue/WLB-2022110013

Bejelentés dátuma: 2022.11.15.
Gyártó: ABB
Érintett rendszer(ek):
- ABB védelmekhez és vezérlőkhöz használható IED manager PCM600 2.11 és korábbi verziói, a 20220923 előtti hotfixekkel együtt használva is;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Credentials (CVE-2022-2513)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://search.abb.com/library/Download.aspx?DocumentID=2NGA001518&LanguageCode=en&DocumentPartId=&Action=Launch

Bejelentés dátuma: 2022.11.15.
Gyártó: Moxa
Érintett rendszer(ek):
- NT-4100T sorozatú eszközök 4.1-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Authentication (n/a)/n/a
Javítás: A Moxa Technical Supportnál elérhető.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/moxa-ne-4100t-improper-authentication-vulnerability

Bejelentés dátuma: 2022.11.15.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- GT SoftGOT2000 1.275M—1.280S verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- OS Command Injection (CVE-2022-2068)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-319-01

Bejelentés dátuma: 2022.11.17.
Gyártó: Cradlepoint
Érintett rendszer(ek):
- NetCloud OS (NCOS) 6.5.0.160bc2e és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection (CVE-2022-3086)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-321-02

Bejelentés dátuma: 2022.11.17.
Gyártó: Red Lion Controls
Érintett rendszer(ek):
- Crimson 3.0 707.000 és korábbi verziói;
- Crimson 3.1 3126.001 és korábbi verziói;
- Crimson 3.2 3.2.0044.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Path Traversal (CVE-2022-3090)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-321-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Jones Walker, egy 80 éve működő, kifejezetten ipari szervezetekre specializálódott amerikai ügyvédi iroda nemrég felmérést készített az USA kikötőinek és teherszállító termináljainak kiberbiztonságával kapcsolatban. A kérdőíves felmérés alapján, amit 125 érintett felsővezető bevonásával végeztek, tisztán látható a kikötői infrastruktúrák elleni növekvő kiberbiztonsági fenyegetettség.

A megkérdezettek 55%-a tapasztalt támadási kísérleteket a kikötői informatikai rendszerek ellen és 45%-uk ismerte el, hogy bizonyos szintű incidenseket szenvedtek el. A válaszadók 36%-a azt is elismerte, hogy az incidensek érintették a kikötők SCADA rendszereit. Sőt, a SCADA rendszereket a kikötői infrastruktúrák egyik legfőbb sérülékenységeként is megnevezték.

A Jones Walker felméréséből készült jelentés 30 oldalas PDF-formátumban itt érhető el.

https://safety4sea.com/wp-content/uploads/2022/10/Jones-Walker-2022-Cyber-Security-Survey-2022_10.pdf

A tengerhajózás és a kikötők kiberbiztonsága évek óta téma egy szűk körben (én is írtam már erről a témáról, a szektorban mérvadónak tartott források alapján), de a jelek szerint lassan a kulcspozíciókban
lévő vezetők is fel fogják ismerni, hogy a kockázatok növekedése a kikötő folyamatvezérlő és egyéb informatikai rendszerek biztonsága esetén is komoly intézkedéseket igényelnek.

Bejelentés dátuma: 2022.10.24.
Gyártó: Belden
Érintett rendszer(ek):
- Belden Provize Basic 01.1.01;
- Hirschmann Network Management Industrial HiVision 08.2.00 és korábbi verziói;
- Hirschmann Network Management HiFusion 04.2.00 és korábbi verziói;
- Hirschmann Network Management HiView 04.2.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Java SE vulnerability (CVE-2022-21449)/súlyos;
- Java SE vulnerability (CVE-2022-21476)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14996&mediaformatid=50063&destinationid=10016

Bejelentés dátuma: 2022.11.08.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- NetBotz 4 - 355/450/455/550/570 V4.7.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-43376)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2022-43377)/közepes;
- Improper Restriction of Rendered UI Layers or Frames (CVE-2022-43378)/közepes;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SINEC NMS v1.0.3-nál korábbi összes verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2021-42550)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) minden verziója;
- SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) minden verziója;
- SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2002-20001)/súlyos;
- Classic Buffer Overflow (CVE-2022-37885)/kritikus;
- Classic Buffer Overflow (CVE-2022-37886)/kritikus;
- Classic Buffer Overflow (CVE-2022-37887)/kritikus;
- Classic Buffer Overflow (CVE-2022-37888)/kritikus;
- Classic Buffer Overflow (CVE-2022-37889)/kritikus;
- Classic Buffer Overflow (CVE-2022-37890)/kritikus;
- Classic Buffer Overflow (CVE-2022-37891)/kritikus;
- Cross-site Scripting (CVE-2022-37892)/kritikus;
- Cross-site Scripting (CVE-2022-37896)/kritikus;
- Command Injection (CVE-2022-37893)/kritikus;
- Improper Input Validation (CVE-2022-37894)/kritikus;
- Improper Input Validation (CVE-2022-37895)/kritikus;
Javítás: Nincs információ
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- JT2Go minden, V14.1.0.4-nél korábbi verziója;
- Teamcenter Visualization V13.3 minden verziója;
- Teamcenter Visualization V13.3 minden, V13.3.0.7-nél korábbi verziója;
- Teamcenter Visualization V14.0 minden, V14.0.0.3-nál korábbi verziója;
- Teamcenter Visualization V14.1 minden, V14.1.0.4-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2022-39136)/súlyos;
- Out-of-bounds Write (CVE-2022-41660)/súlyos;
- Out-of-bounds Read (CVE-2022-41661)/súlyos;
- Out-of-bounds Read (CVE-2022-41662)/súlyos;
- Use After Free (CVE-2022-41663)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-41664)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens QMS Automotive minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Storage of Sensitive Information in Memory (CVE-2022-43958)/súlyos;
Javítás: Nincs információ
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM ROS i800 V4.X minden verziója;
- RUGGEDCOM ROS i801 V4.X minden verziója;
- RUGGEDCOM ROS i802 V4.X minden verziója;
- RUGGEDCOM ROS i803 V4.X minden verziója;
- RUGGEDCOM ROS RMC30 V4.X minden verziója;
- RUGGEDCOM ROS RMC8388 V4.X minden verziója;
- RUGGEDCOM ROS RP110 V4.X minden verziója;
- RUGGEDCOM ROS RS1600 V4.X minden verziója;
- RUGGEDCOM ROS RS1600F V4.X minden verziója;
- RUGGEDCOM ROS RS1600T V4.X minden verziója;
- RUGGEDCOM ROS RS400 V4.X minden verziója;
- RUGGEDCOM ROS RS401 V4.X minden verziója;
- RUGGEDCOM ROS RS416Pv2 V4.X minden verziója;
- RUGGEDCOM ROS RS416v2 V4.X minden verziója;
- RUGGEDCOM ROS RS8000 V4.X minden verziója;
- RUGGEDCOM ROS RS8000A V4.X minden verziója;
- RUGGEDCOM ROS RS8000H V4.X minden verziója;
- RUGGEDCOM ROS RS8000T V4.X minden verziója;
- RUGGEDCOM ROS RS900 (32M) V4.X minden verziója;
- RUGGEDCOM ROS RS900 V4.X minden verziója;
- RUGGEDCOM ROS RS900G (32M) V4.X minden verziója;
- RUGGEDCOM ROS RS900G V4.X minden verziója;
- RUGGEDCOM ROS RS900GP V4.X minden verziója;
- RUGGEDCOM ROS RS900L V4.X minden verziója;
- RUGGEDCOM ROS RS900M V4.X minden verziója;
- RUGGEDCOM ROS RS900W V4.X minden verziója;
- RUGGEDCOM ROS RS910 V4.X minden verziója;
- RUGGEDCOM ROS RS910L V4.X minden verziója;
- RUGGEDCOM ROS RS910W V4.X minden verziója;
- RUGGEDCOM ROS RS920L V4.X minden verziója;
- RUGGEDCOM ROS RS920W V4.X minden verziója;
- RUGGEDCOM ROS RS930L V4.X minden verziója;
- RUGGEDCOM ROS RS930W V4.X minden verziója;
- RUGGEDCOM ROS RS940G V4.X minden verziója;
- RUGGEDCOM ROS RSG2100 (32M) V4.X minden verziója;
- RUGGEDCOM ROS RSG2100 V4.X minden verziója;
- RUGGEDCOM ROS RSG2100P V4.X minden verziója;
- RUGGEDCOM ROS RSG2200 V4.X minden verziója;
- RUGGEDCOM ROS RSG2288 V4.X minden verziója;
- RUGGEDCOM ROS RSG2300 V4.X minden verziója;
- RUGGEDCOM ROS RSG2300P V4.X minden verziója;
- RUGGEDCOM ROS RSG2488 V4.X minden verziója;
- RUGGEDCOM ROS RSG920P V4.X minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-39158)/közepes;
Javítás: Nincs információ
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SINUMERIK ONE minden verziója;
- SINUMERIK MC minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2022-38465)/kritikus
Javítás: Nincs információ
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Drive Controller család minden verziója;
- SIMATIC ET 200pro IM154-8 PN/DP CPU (6ES7154-8AB01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC ET 200pro IM154-8F PN/DP CPU (6ES7154-8FB01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC ET 200pro IM154-8FX PN/DP CPU (6ES7154-8FX00-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC ET 200S IM151-8 PN/DP CPU (6ES7151-8AB01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC ET 200S IM151-8F PN/DP CPU (6ES7151-8FB01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC PC Station minden, V2.1-es és későbbi verziója;
- SIMATIC S7-300 CPU 314C-2 PN/DP (6ES7314-6EH04-0AB0) minden, V3.3.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 315-2 PN/DP (6ES7315-2EH14-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 315F-2 PN/DP (6ES7315-2FJ14-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 315T-3 PN/DP (6ES7315-7TJ10-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 317-2 PN/DP (6ES7317-2EK14-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 317F-2 PN/DP (6ES7317-2FK14-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 317T-3 PN/DP (6ES7317-7TK10-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 317TF-3 PN/DP (6ES7317-7UL10-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 319-3 PN/DP (6ES7318-3EL01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-300 CPU 319F-3 PN/DP (6ES7318-3FL01-0AB0) minden, V3.2.19-nél korábbi verziója;
- SIMATIC S7-400 PN/DP V6 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-400 PN/DP V7 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1200 CPU család (beleértve a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 CPU family (beleértve az ET 200-as CPU-kat és a SIPLUS változatokat is) minden verziója;
- SIMATIC S7-1500 Software Controller minden verziója;
- SIMATIC S7-PLCSIM Advanced minden verziója;
- SIMATIC WinCC Runtime Advanced minden verziója;
- SINUMERIK ONE minden verziója;
- SIPLUS ET 200S IM151-8 PN/DP CPU (6AG1151-8AB01-7AB0) minden, V3.2.19-nél korábbi verziója;
- SIPLUS ET 200S IM151-8F PN/DP CPU (6AG1151-8FB01-2AB0) minden, V3.2.19-nél korábbi verziója;
- SIPLUS S7-300 CPU 314C-2 PN/DP (6AG1314-6EH04-7AB0) minden, V3.3.19-nél korábbi verziója;
- SIPLUS S7-300 CPU 315-2 PN/DP (6AG1315-2EH14-7AB0) minden, V3.2.19-nél korábbi verziója;
- SIPLUS S7-300 CPU 315F-2 PN/DP (6AG1315-2FJ14-2AB0) minden, V3.2.19-nél korábbi verziója;
- SIPLUS S7-300 CPU 317-2 PN/DP (6AG1317-2EK14-7AB0) minden, V3.2.19-nél korábbi verziója;
- SIPLUS S7-300 CPU 317F-2 PN/DP (6AG1317-2FK14-2AB0) minden, V3.2.19-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Request Forgery (CSRF) (CVE-2022-30694)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- Parasolid V34.0 minden, V34.0.252-nél korábbi változata;
- Parasolid V34.0 minden, V34.0.254-nél korábbi változata;
- Parasolid V34.1 minden, V34.1.242-nél korábbi változata;
- Parasolid V34.1 minden, V34.1.244-nél korábbi változata;
- Parasolid V35.0 minden, V35.0.184-nél korábbi változata;
- Parasolid V35.0 minden, V35.0.170-nél korábbi változata;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Out-of-bounds Read (CVE-2022-39157)/súlyos;
- Out-of-bounds Write (CVE-2022-43397)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.11.08.
Gyártó: Siemens
Érintett rendszer(ek):
- POWER METER SICAM Q100 (7KG9501-0AA01-2AA1) minden, V2.50-nél korábbi verziója;
- POWER METER SICAM Q100 (7KG9501-0AA31-2AA1) minden, V2.50-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Session Fixation (CVE-2022-43398)/súlyos;
- Improper Input Validation (CVE-2022-43439)/kritikus;
- Improper Input Validation (CVE-2022-43545)/kritikus;
- Improper Input Validation (CVE-2022-43546)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2022.11.10.
Gyártó: Omron
Érintett rendszer(ek):
- NX7-sorozatú Machine Automation Controller (minden modell) 1.28-as és korábbi verziói;
- NX1-sorozatú Machine Automation Controller (minden modell) 1.48-as és korábbi verziói;
- NJ-sorozatú Machine Automation Controller (minden modell) 1.48-as és korábbi verziói;
- Automation Software Sysmac Studio (minden modell) 1.49-es és korábbi verziói;
- NA-sorozatú programozható terminálok (NA5-15W, NA5-12W, NA5-9W, NA5-7W) 1.15-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Hard-coded Credentials (CVE-2022-34151)/kritikus;
- Authentication Bypass by Capture-replay (CVE-2022-33208)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-08

Bejelentés dátuma: 2022.11.10.
Gyártó: Omron
Érintett rendszer(ek):
- NX7-sorozatú Machine Automation Controller (minden modell) 1.28-as és korábbi verziói;
- NX1-sorozatú Machine Automation Controller (minden modell) 1.48-as és korábbi verziói;
- NJ-sorozatú Machine Automation Controller (minden modell) 1.48-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Active Debug Code (CVE-2022-33971)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-07

Bejelentés dátuma: 2022.11.11.
Gyártó: Moxa
Érintett rendszer(ek):
- VPort P16-1MP-M12 v1.3-as és korábbi firmware-verziói;
- VPort P16-1MP-M12-IR v1.4-es és korábbi firmware-verziói;
- VPort P06-1MP-M12 v2.6-os és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Multiple Format String (CVE-2022-38157)/n/a
- Multiple Buffer Overflows (CVE-2022-31858)/n/a
- NULL Pointer Dereference (CVE-2022-38159)/n/a
Javítás: Elérhető a Moxa Technical Support-nál.
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/moxa-vport-series-improper-input-validation-vulnerability

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.