Bejelentés dátuma: 2025.11.18.
Gyártó: Shelly
Érintett rendszer(ek):
- Pro 3EM minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-Bounds Read (CVE-2025-12056)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-03

Bejelentés dátuma: 2025.11.18.
Gyártó: Shelly
Érintett rendszer(ek):
- Pro 4PM v1.6-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2025-11243)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-02

Bejelentés dátuma: 2025.11.18.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric PowerChute Serial Shutdown 1.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-11565)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2025-11566)/súlyos;
- Incorrect Default Permissions (CVE-2025-11567)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.11.18.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Machine SCADA Expert 2023.1 Patch 1-nél korábbi verziói;
- Pro-face BLUE Open Studio 2023.1 Patch 1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-9317)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2025.11.18.
Gyártó: METZ CONNECT
Érintett rendszer(ek):
- EWIO2-M METZ CONNECT hardverre telepített METZ CONNECT Firmware minden verziója;
- EWIO2-M-BM METZ CONNECT hardverre telepített METZ CONNECT Firmware minden verziója;
- EWIO2-BM METZ CONNECT hardverre telepített METZ CONNECT Firmware minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass by Primary Weakness (CVE-2025-41733)/kritikus;
- PHP Remote File Inclusion (CVE-2025-41734)/kritikus;
- Unrestricted Upload of File with Dangerous Type (CVE-2025-41735)/súlyos;
- Path Traversal (CVE-2025-41736)/súlyos;
- Improper Access Control (CVE-2025-41737)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-05

Bejelentés dátuma: 2025.11.20.
Gyártó: iCam365
Érintett rendszer(ek):
- ROBOT PT Camera P201 43.4.0.0 és korábbi verziói;
- Night Vision Camera QC021 43.4.0.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-64770)/közepes;
- Missing Authentication for Critical Function (CVE-2025-62674)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-02

Bejelentés dátuma: 2025.11.20.
Gyártó: Automated Logic
Érintett rendszer(ek):
- Automated Logic WebCTRL Server 6.1-es verziója;
- Automated Logic WebCTRL Server 7.0 verziója;
- Automated Logic WebCTRL Server 8.0 verziója;
- Automated Logic WebCTRL Server 8.5-ös verziója;
- Carrier i-Vu 6.1-es verziója;
- Carrier i-Vu 7.0 verziója;
- Carrier i-Vu 8.0 verziója;
- Carrier i-Vu 8.5-ös verziója;
- Automated Logic SiteScan Web 6.1-es verziója;
- Automated Logic SiteScan Web 7.0 verziója;
- Automated Logic SiteScan Web 8.0 verziója;
- Automated Logic SiteScan Web 8.5-ös verziója;
- Automated Logic WebCTRL for OEMs 6.1-es verziója;
- Automated Logic WebCTRL for OEMs 7.0 verziója;
- Automated Logic WebCTRL for OEMs 8.0 verziója;
- Automated Logic WebCTRL for OEMs 8.5-ös verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Open Redirect (CVE-2024-8527)/kritikus;
- Cross-site Scripting (CVE-2024-8528)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-01

Bejelentés dátuma: 2025.11.20.
Gyártó: Festo
Érintett rendszer(ek):
- MES PC Festo hardverre telepített Siemens TIA-Portal V15 minden, V17 Update 6-nál korábbi verziója;
- MES PC Festo hardverre telepített Siemens TIA-Portal V18 minden, V18 Update 1-nél korábbi verziója;
- TP260-as Festo hardver June2023-nál korábbi változataira telepített Siemens TIA-Portal V15 minden, V17 Update 6-nál korábbi verziója;
- TP260-as Festo hardver June2023-nál korábbi változataira telepített Siemens TIA-Portal V18 minden, V18 Update 1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2023-26293)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-05

Bejelentés dátuma: 2025.11.20.
Gyártó: Festo
Érintett rendszer(ek):
- MSE6-C2M-5000-FB36-D-M-RG-BAR-M12L4-AGD minden verziója;
- MSE6-C2M-5000-FB36-D-M-RG-BAR-M12L5-AGD minden verziója;
- MSE6-C2M-5000-FB43-D-M-RG-BAR-M12L4-MQ1-AGD minden verziója;
- MSE6-C2M-5000-FB43-D-M-RG-BAR-M12L5-MQ1-AGD minden verziója;
- MSE6-C2M-5000-FB44-D-M-RG-BAR-AMI-AGD minden verziója;
- MSE6-C2M-5000-FB44-D-RG-BAR-AMI-AGD minden verziója;
- MSE6-D2M-5000-CBUS-S-RG-BAR-VCB-AGD minden verziója;
- MSE6-E2M-5000-FB13-AGD minden verziója;
- MSE6-E2M-5000-FB36-AGD minden verziója;
- MSE6-E2M-5000-FB37-AGD minden verziója;
- MSE6-E2M-5000-FB43-AGD minden verziója;
- MSE6-E2M-5000-FB44-AGD minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Hidden Functionality (CVE-2023-3634)/súlyos;
Javítás: A gyártó jelenleg is dolgozik a hiba javításán.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-04

Bejelentés dátuma: 2025.11.20.
Gyártó: Opto 22
Érintett rendszer(ek):
- GRV-EPIC-PR1 4.0.3-nál korábbi firmware-verziói;
- GRV-EPIC-PR2 4.0.3-nál korábbi firmware-verziói;
- groov RIO GRV-R7-MM1001-10 4.0.3-nál korábbi firmware-verziói;
- groov RIO GRV-R7-MM2001-10 4.0.3-nál korábbi firmware-verziói;
- groov RIO GRV-R7-I1VAPM-3 4.0.3-nál korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-13087)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-03

Bejelentés dátuma: 2025.11.20.
Gyártó: Emerson
Érintett rendszer(ek):
- Appleton UPSMON-PRO 2.6-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-3871)/kritikus;
Javítás: Nincs, az érintett termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-06

Bejelentés dátuma: 2025.11.25.
Gyártó: Ashlar-Vellum
Érintett rendszer(ek):
- Cobalt 12.6.1204.207-es és korábbi verziói;
- Xenon 12.6.1204.207-es és korábbi verziói;
- Argon 12.6.1204.207-es és korábbi verziói;
- Lithium 12.6.1204.207-es és korábbi verziói;
- Cobalt Share 12.6.1204.207-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-Bounds Write (CVE-2025-65084)/súlyos;
- Heap-based Buffer Overflow (CVE-2025-65085)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-01

Bejelentés dátuma: 2025.11.25.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Arena Simulation 16.20.10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-11918)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-02

Bejelentés dátuma: 2025.11.25.
Gyártó: Zenitel
Érintett rendszer(ek):
- TCIV-3+ minden, 9.3.3.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-64126)/kritikus;
- OS Command Injection (CVE-2025-64127)/kritikus;
- OS Command Injection (CVE-2025-64128)/kritikus;
- Out-of-bounds Write (CVE-2025-64129)/súlyos;
- Cross-site Scripting (CVE-2025-64130)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-03

Bejelentés dátuma: 2025.11.
Gyártó: Opto 22
Érintett rendszer(ek):
- groov View Server for Windows R1.0a-tól R4.5d-ig terjedő verziói;
- GRV-EPIC-PR1 4.0.3-nál korábbi firmware-verziói;
- GRV-EPIC-PR2 4.0.3-nál korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information Through Metadata (CVE-2025-13084)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-04

Bejelentés dátuma: 2025.11.25.
Gyártó: Festo
Érintett rendszer(ek):
- Festo Software Compact Vision System SBO-Q- minden verziója;
- Festo Software Control block CPX-CEC-C1 Codesys V2 minden verziója;
- Festo Software Control block CPX-CEC-C1-V3 Codesys V3 minden verziója;
- Festo Software Control block CPX-CEC Codesys V2 minden verziója;
- Festo Software Control block CPX-CEC-M1 Codesys V2 minden verziója;
- Festo Software Control block CPX-CEC-M1-V3 Codesys V3 minden verziója;
- Festo Software Control block CPX-CEC-S1-V3 Codesys V3 minden verziója;
- Festo Software Control block CPX-CMXX minden verziója;
- Festo Software Controller CECC-D minden verziója;
- Festo Software Controller CECC-D-BA minden verziója;
- Festo Software Controller CECC-D-CS minden verziója;
- Festo Software Controller CECC-LK minden verziója;
- Festo Software Controller CECC-S minden verziója;
- Festo Software Controller CECC-X-M1 minden verziója;
- Festo Software Controller CECC-X-M1-MV minden verziója;
- Festo Software Controller CECC-X-M1-S1 minden verziója;
- Festo Software Controller CECX-X-C1 minden verziója;
- Festo Software Controller CECX-X-M1 minden verziója;
- Festo Software Controller CPX-E-CEC-C1 minden verziója;
- Festo Software Controller CPX-E-CEC-C1-EP minden verziója;
- Festo Software Controller CPX-E-CEC-C1-PN minden verziója;
- Festo Software Controller CPX-E-CEC-M1 minden verziója;
- Festo Software Controller CPX-E-CEC-M1-EP minden verziója;
- Festo Software Controller CPX-E-CEC-M1-PN minden verziója;
- Festo Software Controller FED-CEC minden verziója;
- Festo Software Operator unit CDPX-X-A-S-10 minden verziója;
- Festo Software Operator unit CDPX-X-A-W-13 minden verziója;
- Festo Software Operator unit CDPX-X-A-W-4 minden verziója;
- Festo Software Operator unit CDPX-X-A-W-7 minden verziója;
- Festo Software Operator unit CDPX-X-E1-W-10 minden verziója;
- Festo Software Operator unit CDPX-X-E1-W-15 minden verziója;
- Festo Software Operator unit CDPX-X-E1-W-7 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Resource to Wrong Sphere (CVE-2022-22515)/súlyos;
- Initialization of a Resource with an Insecure Default (CVE-2022-31806)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-05

Bejelentés dátuma: 2025.11.25.
Gyártó: SiRcom
Érintett rendszer(ek):
- SMART Alert (SiSA) 3.0.48-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-13483)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-06

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Modern civilizációnk alapjait olyan kritikus infrastruktúrái egyre bonyolultabb, egyre nehezebben érthető módon épülnek fel (elég csak arra gondolni, hogy egy, a magyar villamosenergia-rendszerben központi SCADA rendszerben hány adatpont van vagy hogy hány, egymással összefüggő üzemből épül fel egy olajfinomító), ráadásul miközben a egyre nagyobb mértékben digitalizálódnak (elég csak a mind jobban terjedő, IT-OT konvergenciára gondolni), közben egyre nő azoknak a rendszerelemeknek a hányada, amik már több évtizedes kort értek el, mégis napi szintű használatban vannak - és ez nem csak a transzformátorokra, védelmekre vagy a saválló acélból készült berendezésekre igaz, hanem a digitális komponensekre is, egyáltalán nem ritkák a Windows XP-n, Windows 7-en futó rendszerek, de láttam már Windows 2000-et és hallottam (igaz nem mostanában) olyan gépet, amin DOS-t kellett futtatni ahhoz, hogy egy konfigurációhoz használni szükséges szoftvert használni tudjanak. Ezek pedig csak a szoftveres kompatibilitási (és persze sérülékenységi) kérdések és kihívások, a hardveres kihívásokat még nem is említettük - márpedig manapság olyan hardvert találni, amihez még vannak Windows XP vagy 2000 meghajtó programok, nem éppen a legegyszerűbb feladat.

Erről a témáról szól az Arthur D. Little nevű tanácsadó cég nemrég kiadott, "Built to last?" című publikációja.

Bejelentés dátuma: 2025.11.03.
Gyártó: WAGO
Érintett rendszer(ek):
- Basic Controller 0750-800x 01.05.01-nél korábbi firmware-verziói;
- CC100 0751-9x01 04.08.01 (70)-nél korábbi Custom Firmware-verziói és 04.08.01 (FW30)-nál korábbi Firmware-verziói;
- Edge Controller 0752-8303/8000-0002 04.08.01 (70)-nél korábbi Custom Firmware-verziói és 04.08.01 (FW30)-nál korábbi Firmware-verziói;
- PFC100 G1 0750-810x/xxxx-xxxx 3.10.11 (FW22 Patch 2)-nél korábbi firmware-verziói;
- PFC100 G2 0750-811x-xxxx-xxxx 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- PFC200 G1 750-820x-xxx-xxx 3.10.11 (FW22 Patch 2)-nél korábbi firmare-verziói;
- PFC200 G2 750-821x-xxx-xxx 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-420x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-430x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-520x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-530x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-620x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
- TP600 0762-630x/8000-000x 04.08.01 (FW30)-nál korábbi firmware-verziói és 04.08.01 (70)-nél korábbi Custom Firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Observable Discrepancy (CVE-2025-1468)/súlyos;
- Path Traversal (CVE-2025-0694)/közepes;
- Forced Browsing (CVE-2025-2595)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2025-062/

Bejelentés dátuma: 2025.11.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxureTM Machine SCADA Expert 2023.1 Patch 1-nél korábbi verziói;
- Pro-face BLUE Open Studio 2023.1 Patch 1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-9317)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens COMOS Web-bel telepített COMOS 10.4.5-nél korábbi verziói;
- Siemens COMOS Snapshots komponenst használó COMOS 10.4.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incomplete List of Disallowed Inputs (CVE-2023-45133)/kritikus;
- Cleartext Transmission of Sensitive Information (CVE-2024-0056)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM P850 (7KG8500-0AA00-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA02-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA11-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA11-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA12-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA12-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA31-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA31-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA32-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA32-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA00-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA00-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA00-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA10-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA10-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA30-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8550-0AA30-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA01-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA01-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA02-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA02-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA11-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA10-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA11-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA12-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA12-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA31-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA31-2AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA32-0AA0) 3.11-esnél korábbi verziói;
- SICAM P855 (7KG8551-0AA32-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA10-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA30-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8500-0AA30-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA01-0AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA01-2AA0) 3.11-esnél korábbi verziói;
- SICAM P850 (7KG8501-0AA02-0AA0) 3.11-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Request Forgery (CSRF) (CVE-2023-30901)/közepes;
- Incorrect Permission Assignment for Critical Resource (CVE-2023-31238)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- LOGO! 12/24RCE (6ED1052-1MD08-0BA2) minden verziója;
- SIPLUS LOGO! 12/24RCEo (6AG1052-2MD08-7BA2) minden verziója;
- SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA2) minden verziója;
- SIPLUS LOGO! 230RCEo (6AG1052-2FB08-7BA2) minden verziója;
- SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA2) minden verziója;
- SIPLUS LOGO! 24CEo (6AG1052-2CC08-7BA2) minden verziója;
- SIPLUS LOGO! 24RCE (6AG1052-1HB08-7BA2) minden verziója;
- SIPLUS LOGO! 24RCEo (6AG1052-2HB08-7BA2) minden verziója;
- LOGO! 12/24RCEo (6ED1052-2MD08-0BA2) minden verziója;
- LOGO! 230RCE (6ED1052-1FB08-0BA2) minden verziója;
- LOGO! 230RCEo (6ED1052-2FB08-0BA2) minden verziója;
- LOGO! 24CE (6ED1052-1CC08-0BA2) minden verziója;
- LOGO! 24CEo (6ED1052-2CC08-0BA2) minden verziója;
- LOGO! 24RCE (6ED1052-1HB08-0BA2) minden verziója;
- LOGO! 24RCEo (6ED1052-2HB08-0BA2) minden verziója;
- SIPLUS LOGO! 12/24RCE (6AG1052-1MD08-7BA2) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2025-40815)/súlyos;
- Missing Authentication for Critical Function (CVE-2025-40816)/súlyos;
- Missing Authentication for Critical Function (CVE-2025-40817)/közepes;
Javítás: A gyártó jelenleg is dolgozik a hibák javításán.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Spectrum Power 4 V4.70 SP12 Update 2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Use of Privileged APIs (CVE-2024-32008)/súlyos;
- Incorrect Privilege Assignment (CVE-2024-32009)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-32010)/súlyos;
- Inclusion of Functionality from Untrusted Control Sphere (CVE-2024-32011)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-32014)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Solid Edge SE2025 minden, V225.0 Update 11-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Certificate Validation (CVE-2025-40744)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Altair Grid Engine minden, V2026.0.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Generation of Error Message Containing Sensitive Information (CVE-2025-40760)/közepes;
- Uncontrolled Search Path Element (CVE-2025-40763)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.11.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Software Center minden, 3.5-nél korábbi verziója;
- Solid Edge SE2025 minden, V225.0 Update 10-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2025-40827)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.11.13.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- FX5U-32MT/ES minden verziója;
- FX5U-32MT/DS minden verziója;
- FX5U-32MT/ESS minden verziója;
- FX5U-32MT/DSS minden verziója;
- FX5U-64MT/ES minden verziója;
- FX5U-64MT/DS minden verziója;
- FX5U-64MT/ESS minden verziója;
- FX5U-64MT/DSS minden verziója;
- FX5U-80MT/ES minden verziója;
- FX5U-80MT/DS minden verziója;
- FX5U-80MT/ESS minden verziója;
- FX5U-80MT/DSS minden verziója;
- FX5U-32MR/ES minden verziója;
- FX5U-32MR/DS minden verziója;
- FX5U-64MR/ES minden verziója;
- FX5U-64MR/DS minden verziója;
- FX5U-80MR/ES minden verziója;
- FX5U-80MR/DS minden verziója;
- FX5UC-32MT/D minden verziója;
- FX5UC-32MT/DSS minden verziója;
- FX5UC-64MT/D minden verziója;
- FX5UC-64MT/DSS minden verziója;
- FX5UC-96MT/D minden verziója;
- FX5UC-96MT/DSS minden verziója;
- FX5UC-32MT/DS-TS minden verziója;
- FX5UC-32MT/DSS-TS minden verziója;
- FX5UC-32MR/DS-TS minden verziója;
- FX5UJ-24MT/ES minden verziója;
- FX5UJ-24MT/DS minden verziója;
- FX5UJ-24MT/ESS minden verziója;
- FX5UJ-24MT/DSS minden verziója;
- FX5UJ-40MT/ES minden verziója;
- FX5UJ-40MT/DS minden verziója;
- FX5UJ-40MT/ESS minden verziója;
- FX5UJ-40MT/DSS minden verziója;
- FX5UJ-60MT/ES minden verziója;
- FX5UJ-60MT/DS minden verziója;
- FX5UJ-60MT/ESS minden verziója;
- FX5UJ-60MT/DSS minden verziója;
- FX5UJ-24MR/ES minden verziója;
- FX5UJ-24MR/DS minden verziója;
- FX5UJ-40MR/ES minden verziója;
- FX5UJ-40MR/DS minden verziója;
- FX5UJ-60MR/ES minden verziója;
- FX5UJ-60MR/DS minden verziója;
- FX5UJ-24MR/ES-A minden verziója;
- FX5UJ-24MT/ES-A minden verziója;
- FX5UJ-40MR/ES-A minden verziója;
- FX5UJ-40MT/ES-A minden verziója;
- FX5UJ-60MR/ES-A minden verziója;
- FX5UJ-60MT/ES-A minden verziója;
- FX5S-30MT/ES minden verziója;
- FX5S-30MT/DS minden verziója;
- FX5S-30MT/ESS minden verziója;
- FX5S-30MT/DSS minden verziója;
- FX5S-40MT/ES minden verziója;
- FX5S-40MT/DS minden verziója;
- FX5S-40MT/ESS minden verziója;
- FX5S-40MT/DSS minden verziója;
- FX5S-60MT/ES minden verziója;
- FX5S-60MT/DS minden verziója;
- FX5S-60MT/ESS minden verziója;
- FX5S-60MT/DSS minden verziója;
- FX5S-80MT/ES minden verziója;
- FX5S-80MT/DS minden verziója;
- FX5S-80MT/ESS minden verziója;
- FX5S-80MT/DSS minden verziója;
- FX5S-30MR/ES minden verziója;
- FX5S-30MR/DS minden verziója;
- FX5S-40MR/ES minden verziója;
- FX5S-40MR/DS minden verziója;
- FX5S-60MR/ES minden verziója;
- FX5S-60MR/DS minden verziója;
- FX5S-80MR/ES minden verziója;
- FX5S-80MR/DS minden verziója;
- FX5S-30MR/ES-A minden verziója;
- FX5S-30MT/ES-A minden verziója;
- FX5S-40MR/ES-A minden verziója;
- FX5S-40MT/ES-A minden verziója;
- FX5S-60MR/ES-A minden verziója;
- FX5S-60MT/ES-A minden verziója;
- FX5S-80MR/ES-A minden verziója;
- FX5S-80MT/ES-A minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2025-10259)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-01

Bejelentés dátuma: 2025.11.13.
Gyártó: AVEVA
Érintett rendszer(ek):
- Application Server 2023 R2 SP1 P02 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) (CVE-2025-8386)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-02

Bejelentés dátuma: 2025.11.13.
Gyártó: AVEVA
Érintett rendszer(ek):
- Edge 2023 R2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-9317)/súlyos;;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-03

Bejelentés dátuma: 2025.11.13.
Gyártó: Brightpick AI
Érintett rendszer(ek):
- Brightpick Mission Control/Internal Logic Control minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-64307)/közepes;
- Unprotected Transport of Credentials (CVE-2025-64308)/súlyos;
- Unprotected Transport of Credentials (CVE-2025-64309)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-04

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Verve Asset Manager 1.33-as verziója;
- Verve Asset Manager 1.34-es verziója;
- Verve Asset Manager 1.35-ös verziója;
- Verve Asset Manager 1.36-os verziója;
- Verve Asset Manager 1.37-es verziója;
- Verve Asset Manager 1.38-as verziója;
- Verve Asset Manager 1.39-es verziója;
- Verve Asset Manager 1.40-es verziója;
- Verve Asset Manager 1.41-es verziója;
- Verve Asset Manager 1.41.1-es verziója;
- Verve Asset Manager 1.41.2-es verziója;
- Verve Asset Manager 1.41.3-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2025-11862)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-05

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Studio 5000 Simulation Interface 2.02-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-11696)/súlyos;
- Server-Side Request Forgery (SSRF) (CVE-2025-11697)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-06

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk DataMosaix Private Cloud 7.11-es, 8.00 és 8.01-es verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Authentication (CVE-2025-11084)/közepes;
- Improper Encoding or Escaping of Output (CVE-2025-11085)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-07

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Policy Manager 6.51.00 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Resource Shutdown or Release (CVE-2024-22019)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-09

Bejelentés dátuma: 2025.11.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- AADvance-Trusted SIS Workstation 2.00.00-tól 2.00.04-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2024-48510)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-10

Bejelentés dátuma: 2025.11.13.
Gyártó: General Industrial Controls
Érintett rendszer(ek):
- Lynx+ Gateway R08-as verziója;
- Lynx+ Gateway V03-as verziója;
- Lynx+ Gateway V05-ös verziója;
- Lynx+ Gateway V18-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Password Requirements (CVE-2025-55034)/súlyos;
- Missing Authentication for Critical Function (CVE-2025-58083)/kritikus;
- Missing Authentication for Critical Function (CVE-2025-59780)/súlyos;
- Cleartext Transmission of Sensitive Information (CVE-2025-62765)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-08

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az utóbbi néhány évben a kisméretű és olcsó műholdak száma robbanásszerűen megnőtt. Elég csak a StarLink műholdjainak nagy számára gondolni vagy a magyar műholdakat (a 2010-es években készült és fellőtt Masat-1, SMOG-P után a 2020-as években a VIREO, az MRC-100 és a GRBAlpha is kijutott a világűrbe) említeni.

Nemrég egy Jack Vanlyssel nevű kutató publikációja került elém, amiben a szerző azt vizsgálja, hogy az ilyen, kis költségvetésű műholdakban használt, kereskedelmi forgalomban kapható (Commercial Off The Shelf, COTS) alkatrészeket kihasználva hogyan lehet támadást indítani a műholdak ellen. A COTS alkatrészek esetén jellemzően elmarad az átfogó és alapos ellenőrzés, viszont ezek a komponensek továbbra is rendszer-szintű hozzáféréssel működnek a műholdakban. A kísérletekhez Jack a NASA NOS3-as szimulátorát használta és 5 különböző tesztesetet vizsgált. A kísérlet eredményeként bizonyította, hogy a műholdak építésénél a "trust by design" megközelítést fontos minél előbb és minél inkább az alapértelmezett ellenőrzés, authentikáció és monioring irányába elvinni annak érdekében, hogy a kisméretű műholdak ne vagy csak jóval nehezebben eshessenek áldozatául ilyen támadásoknak.

Bejelentés dátuma: 2025.10.30.
Gyártó: International Standards Organization
Érintett rendszer(ek):
- ISO 15118 szabvány 15118-2-es fejezete: Network and Application Protocol Requirements - elektromos autótöltő berendezések esetén;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Communication Channel to Intended Endpoints (CVE-2025-12357)/súlyos;
Javítás: Az ISO a TLS titkosítás alkalmazását javasolja minden érintett kommunikáció esetén.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-303-01

Bejelentés dátuma: 2025.10.30.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- TropOS 4. generációs firmware-ek 8.9.6.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-1036)/súlyos;
- Improper Privilege Management (CVE-2025-1037)/súlyos;
- OS Command Injection (CVE-2025-1038)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-303-02

Bejelentés dátuma: 2025.11.04.
Gyártó: Fuji Electric
Érintett rendszer(ek):
- Fuji Electric Monitouch V-SFT-6 6.2.7.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2025-54496)/súlyos;
- Stack-based Buffer Overflow (CVE-2025-54526)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-01

Bejelentés dátuma: 2025.11.04.
Gyártó: Survision
Érintett rendszer(ek):
- License Plate Recognition LPR Camera minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-12108)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-02

Bejelentés dátuma: 2025.11.04.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-G2 2.1.0.27-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-58317)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-03

Bejelentés dátuma: 2025.11.04.
Gyártó: Radiometrics
Érintett rendszer(ek):
- VizAir minden, 08/2025-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-61945)/kritikus;
- Insufficiently Protected Credentials (CVE-2025-54863)/kritikus;
- Missing Authentication for Critical Function (CVE-2025-61956)/kritikus;
Javítás: A gyártó elvégezte a sérülékeny rendszerek frissítését.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-04

Bejelentés dátuma: 2025.11.04.
Gyártó: IDIS
Érintett rendszer(ek):
- ICM Viewer v1.6.0.10-es verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Argument Injection (CVE-2025-12556)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-05

Bejelentés dátuma: 2025.11.06.
Gyártó: Advantech
Érintett rendszer(ek):
- DeviceOn/iEdge 2.0.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-64302)/közepes;
- Path Traversal (CVE-2025-62630)/súlyos;
- Path Traversal (CVE-2025-59171)/súlyos;
- Path Traversal (CVE-2025-58423)/súlyos;
Javítás: Nincs, az érintett rendszerek életciklusuk végére értek.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-01

Bejelentés dátuma: 2025.1
Gyártó: Ubia
Érintett rendszer(ek):
- Ubox v1.1.124-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficiently Protected Credentials (CVE-2025-12636)/közepes;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-02

Bejelentés dátuma: 2025.11.06.
Gyártó: ABB
Érintett rendszer(ek):
- FBXi-8R8-X96 (2CQG201028R1011) 9.3.5-ös és korábbi verziói;
- FBXi-8R8-H-X96 (2CQG201029R1011) 9.3.5-ös és korábbi verziói;
- FBXi-X256 (2CQG201014R1021) 9.3.5-ös és korábbi verziói;
- FBXi-X48 (2CQG201018R1021) 9.3.5-ös és korábbi verziói;
- FBXi-8R8-X96-S (2CQG201606R1011) 9.3.5-ös és korábbi verziói;
- FBVi-2U4-4T (2CQG201015R1021 ) 9.3.5-ös és korábbi verziói;
- FBVi-2U4-4T-IMP (2CQG201016R1021) 9.3.5-ös és korábbi verziói;
- FBVi-2U4-4T-SI 9.3.5-ös és korábbi verziói;
- FBTi-7T7-1U1R (2CQG201022R1011) 9.3.5-ös és korábbi verziói;
- FBTi-6T1-1U1R (2CQG201022R1011) 9.3.5-ös és korábbi verziói;
- CBXi-8R8 (2CQG201001R1021) 9.3.5-ös és korábbi verziói;
- CBXi-8R8-H (2CQG201001R1021) 9.3.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2024-48842)/súlyos;
- Improper Validation of Specified Type of Input (CVE-2024-48851)/súlyos;
- Use of a One-Way Hash without a Salt (CVE-2025-10205)/súlyos;
- Improper Validation of Specified Type of Input (CVE-2025-10207)/súlyos;
Javítás: Egyes érintett verziókhoz a gyártó tervezi a hibákat javító újabb verziót.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai poszt viszonylag rövid lesz, Bob Radvanovsky folyamatbiztonsági modelljéről fog szólni, amit nemrég publikált. Íme:

Bob szerint a modell még bőven kidolgozás alatt van és igazából egy 3D-s változat lenne ideális, de kezdetnek megteszi és nagyon jól mutatja, hogy az adatok biztonságával kapcslatos megközelítés mennyire nehezen összeegyeztethető az ICS/OT rendszerek által vezérelt folyamatok biztonságának szempontjaival.

Nem tartott sokáig, hogy kakukktojás könyvet hozzak ebben a sorozatban - viszont Andy Greenberg könyve, a Sandworm (A new era of cyberwar and the hunt for the Kremlin's most dangerous hackers) olyan részletekről is ír a GRU-hoz (az orosz katonai titkosszolgálathoz) tartozónak tartott APT-csoport bemutatása során, amiket szerintem kár lenne kihagyni.

A teljesség igénye nélkül csak két, ICS/OT biztonsági szempontból meghatározó esemény, amiket részletesen bemutat a szerző, az első az Aurora teszt, amit az Idaho National Laboratory-ban hajtottak végre és amiben több olyan szakértő is aktívan közreműködött, akikre a blogon én is szoktam hivatkozni (Mike Assante és Joe Weiss). A másik pedig az Industroyer/CrashOverride nevű ICS malware-támadás a Kijev-északi Ukrenergo-alállomás ellen, amiben a második ismert autonóm ICS-malware-t fedezték fel.

A könyv fejezetei:

Part I - Emergence
1. The Zero Day
2. BlackEnergy
3. Arrakis 02
4. Force Multiplier
5. StarLightMedia
6. Holodomor to Chernobyl
7. Maidan to Donbas
8. Blackout
9. The Delegation

Part II - Origins
10. Flashback: Aurora
11. Flashback: Moonlight Maze
12. Flashback: Estonia
13. Flashback: Georgia
14. Flashback: Stuxnet

Part III - Evolution
15. Warnings
16. Fancy Bear
17. FSociety
18. Polygon
19. Industroyer/CrashOverride

Part IV - Apotheosis
20. Maersk
21. Shadow Brokers
22. EternalBlue
23. Mimikatz
24. NotPetya
25. National Disaster
26. Breakdown
27. The Cost
28. Aftermath
29. Distance

Part V - Identity
30. GRU
31. Defectors
32. Informatsionnoye Protivoborstvo
33. The Penalty
34. Bad Rabbit, Olympic Destroyer
35. False Flags
36. 74455
37. The Tower
38. Russia
39. The Elephant and the Insurgent

Part VI - Lessons
40. Geneva
41. Black Start
42. Resilience

Appendix: Sandworm's Connection to French Election Hacking

Bejelentés dátuma: 2025.10.07.
Gyártó: B&R Automation
Érintett rendszer(ek):
- Automation Runtime 6.3-nál és Q4.93-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Resource Locking (CVE-2025-3450)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.br-automation.com/fileadmin/SA25P002-f6a69e61.pdf

Bejelentés dátuma: 2025.10.08.
Gyártó: ABB
Érintett rendszer(ek):
- MConfig V1.4.9.21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Application credential stored in clear text in memory (CVE-2025-9970)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.10.08.
Gyártó: ABB
Érintett rendszer(ek):
- Terra AC wallbox (JP) 1.8.33-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap Memory Corruption (CVE-2025-10504)/közepes;
- Heap-based Buffer Overflow (CVE-2025-10504)/közepes;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.10.14.
Gyártó: B&R Automation
Érintett rendszer(ek):
- Automation Runtime 6.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Session Token (CVE-2025-3449)/közepes;
- Cross-Site Scripting (CVE-2025-3448)/közepes;
- CSV formula injection (CVE-2025-11498)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.br-automation.com/fileadmin/SA25P003-178b6a20.pdf

Bejelentés dátuma: 2025.10.14.
Gyártó: Phoenix Contact
Érintett rendszer(ek):
- 1139022 modellszámú CHARX SEC-3000 FW 1.7.4-nél korábbi firmware-verziói;
- 1139018 modellszámú CHARX SEC-3050 FW 1.7.4-nél korábbi firmware-verziói;
- 1139012 modellszámú CHARX SEC-3100 FW 1.7.4-nél korábbi firmware-verziói;
- 1138965 modellszámú CHARX SEC-3150 FW 1.7.4-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Code Injection (CVE-2025-41699)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://certvde.com/en/advisories/VDE-2025-074/

Bejelentés dátuma: 2025.10.14.
Gyártó: Eaton
Érintett rendszer(ek):
- Eaton IPP szoftver minden, 1.76-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insecure library loading (CVE-2025-59889)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Eaton Vulnerability Advisory

Bejelentés dátuma: 2025.10.20.
Gyártó: ABB
Érintett rendszer(ek):
- CoreSense™ HM 2.3.1-es és korábbi verziói;
- CoreSense™ M10 1.4.1.12-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-3465)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

Bejelentés dátuma: 2025.10.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1783-NATR minden, 1.006-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-7328)/kritikus;
- Cross-site Scripting (CVE-2025-7329)/súlyos;
- Cross-Site Request Forgery (CSRF) (CVE-2025-7330)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-01

Bejelentés dátuma: 2025.10.21.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Compact GuardLogix 5370 minden, 30.012-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncaught Exception (CVE-2025-9124)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-02

Bejelentés dátuma: 2025.10.21.
Gyártó: CloudEdge
Érintett rendszer(ek):
- CloudEdge App 4.4.2-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Neutralization of Wildcards or Matching Symbols (CVE-2025-11757)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-05

Bejelentés dátuma: 2025.10.21.
Gyártó: Raisecomm
Érintett rendszer(ek):
- RAX701-GC-WP-01 P200R002C52 5.5.27_20190111-es firmware-verziója;
- RAX701-GC-WP-01 P200R002C53 5.5.13_20180720 és 5.5.36_20190709-es firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-11534)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-06

Bejelentés dátuma: 2025.10.23.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-4500A sorozatú eszközök v3.13-as és korábbi firmware-verziói;
- TN-5500A sorozatú eszközök v3.13-as és korábbi firmware-verziói;
- TN-G4500 sorozatú eszközök v5.5-ös és korábbi firmware-verziói;
- TN-G6500 sorozatú eszközök v5.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-Site Scripting (CVE-2025-1679)/közepes;
- Resource Location Spoofing (CVE-2025-1680)/alacsony;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.10.23.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- Productivity Suite v4.4.1.19-es és korábbi verziója;
- Productivity 3000 P3-622 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 3000 P3-550E CPU v4.4.1.19-es és korábbi verziója;
- Productivity 3000 P3-530 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 2000 P2-622 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 2000 P2-550 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 1000 P1-550 CPU v4.4.1.19-es és korábbi verziója;
- Productivity 1000 P1-540 CPU v4.4.1.19-es és korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Relative Path Traversal (CVE-2025-62498)/súlyos;
- Weak Password Recovery Mechanism for Forgotten Password (CVE-2025-61977)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2025-62688)/súlyos;
- Binding to an Unrestricted IP Address (CVE-2025-61934)/kritikus;
- Relative Path Traversal (CVE-2025-58456)/közepes;
- Relative Path Traversal (CVE-2025-58078)/súlyos;
- Relative Path Traversal (CVE-2025-58429)/súlyos;
- Relative Path Traversal (CVE-2025-59776)/közepes;
- Relative Path Traversal (CVE-2025-60023)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-01

Bejelentés dátuma: 2025.10.23.
Gyártó: ASKI Energy
Érintett rendszer(ek):
- ALS-maini-s4 IP (2000-től 5166-ig terjedő sorozatszámainak) minden verziója;
- ALS-maini-s8 IP (2000-től 5166-ig terjedő sorozatszámainak) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-9574)/kritikus;
Javítás: Nincs az érintett termékcsalád elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-02

Bejelentés dátuma: 2025.10.23.
Gyártó: Veeder-Root
Érintett rendszer(ek):
- TLS4B 11.A-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2025-58428)/kritikus;
- Integer Overflow or Wraparound (CVE-2025-55067)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-03

Bejelentés dátuma: 2025.10.23.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- ASDA-Soft 7.0.2.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-62579)/súlyos;
- Stack-based Buffer Overflow (CVE-2025-62580)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-04

Bejelentés dátuma: 2025.10.24.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiOS Switch Platform minden verziója;
- Hirschmann Classic Switch Platform minden verziója;
- Hirschmann HiLCOS Wireless Platform 10.34-RU7-es és korábbi verziói;
- Hirschmann HiSecOS Firewall Platform minden verziója;
- macmon-NAC minden verziója;
- Hirschmann IT Enterprise Managed Switches minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- RADIUS Protocol sérülékenység (CVE-2024-3596)/kritikus;
Javítás: Részben elérhető.
Link a publikációhoz: Belden

Bejelentés dátuma: 2025.10.28.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure OPC UA Server Expert SV2.01 SP3-nál korábbi verziói;
- EcoStruxure Modicon Communication Server minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-10085)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-301-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Alig két hete jelent meg a Forescout-hoz tartozó Verdere labor munkatársainak tanulmánya arról, hogyan támadta meg a TwoNet néven ismert, a feltételezések szerint oroszpárti hacktivista csoport az egyik, viziközmű ICS/OT rendszernek felépített honeypot-jukat.

A riport szerint a támadók képesek voltak nemcsak a bejelentkezési felületet megváltoztatni (deface-elni), hanem módosították a PLC-k beállításait, majd megzavarták a vezérelt folyamatokat és lehetetlenné tették a mérések valósidejű frissítéseit, valamint kikapcsolták a rendszerből az operátor felé küldött riasztásokat és naplózást.

A jelentés kitér arra is, hogy a megtámadott rendszer HMI-jének élő Internet-kapcsolata volt és a gyári, alapértelmezett jelszóval lehetett rá bejelentkezni, ami két olyan biztonsági hiányosság (nevezhetném hanyagságnak is valódi folyamatirányító rendszerek esetén), amiről legalább 10-15 éve beszél a szakma, hogy ez az egyik alapvető dolog, amit soha ne tegyenek az ICS/OT rendszereket tervező és építő mérnök kollégák. Ennek ellenére mind a mai napig ezrével lehet ilyen rendszereket találni az Interneten (elég csak a Sector16 által "meglátogatott" magyar rendszerekre gondolni).

Az is egyértelműen látszik, hogy az elmúlt 15 évben az ICS/OT rendszerek elleni sikeres támadáshoz szükséges szakértelem belépő szintje nagyon sokat csökkent, a Stuxnet-nél vagy az ukrán áramszolgáltatók elleni támadásoknál még komoly titkosszolgálati háttérrel kellett rendelkezni egy sikeres támadáshoz, ma pedig már hacktivisták is képesek lehet gyengén védett ipari folyamatirányító rendszerekben sikeres beavatkozást végigvinni.

A konkrét, Vedere Labs által ismertetett eset meglehetősen kettős, mert egyrészt a támadók sikeresek voltak még a fizikai folyamatvezérlés módosításában is, ugyanakkor azt nem vették észre, hogy nem egy valódi viziközmű ICS/OT rendszerben garázdálkodnak, hanem egy honeypot rendszerben. Ez a tény azért kétségeket ébreszt a felkészültségük valódi mélységeit illetően (ugyanakkor nem győzöm eléggé hangsúlyozni, hogy a tény, hogy a célba vett rendszert teljes mélységében képesek voltak irányítani, éppen elég ijesztő, függetlenül attól, hogy a mostani áldozatuk egy honeypot volt - ugyanilyen könnyen találhatnak maguknak más fontos, Interneten elérhető rendszert, ami viszont már éles lesz)

Bejelentés dátuma: 2025.10.09.
Gyártó: Belden
Érintett rendszer(ek):
- Hirschmann HiOS Switch Platform 09.1.00-nál újabb verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect HTTP request handling (n/a)/critical;
Javítás: Elérhető
Link a publikációhoz: Belden

Bejelentés dátuma: 2025.10.14.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- 1715 EtherNet/IP 3.003-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2025-9177)/súlyos;
- Out-of-bounds Write (CVE-2025-9178)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-287-01

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SiPass integrated V3.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-35002)/súlyos;
- Cross-site Scripting (CVE-2025-40772)/súlyos;
- Authorization Bypass Through User-Controlled Key (CVE-2025-40773)/alacsony;
- Storing Passwords in a Recoverable Format (CVE-2025-40774)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS V4.0 SP1-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- SQL Injection (CVE-2025-40755)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SIMATIC CP 1542SP-1 (6GK7542-6UX00-0XE0) 2.4.24-nél korábbi verziói;
- Siemens SIMATIC CP 1542SP-1 IRC (6GK7542-6VX00-0XE0) 2.4.24-nél korábbi verziói;
- Siemens SIMATIC CP 1543SP-1 (6GK7543-6WX00-0XE0) 2.4.24-nél korábbi verziói;
- Siemens SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (6AG2542-6VX00-4XE0) 2.4.24-nél korábbi verziói;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC (6AG1543-6WX00-7XE0) 2.4.24-nél korábbi verziói;
- Siemens SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (6AG2543-6WX00-4XE0) 2.4.24-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-40771)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens Solid Edge SE2024 V224.0 Update 14-nél korábbi verziói;
- Siemens Solid Edge SE2025 V225.0 Update 6-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2025-40809)/súlyos;
- Out-of-bounds Write (CVE-2025-40810)/súlyos;
- Out-of-bounds Read (CVE-2025-40811)/súlyos;
- Out-of-bounds Read (CVE-2025-40812)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens HyperLynx minden verziója;
- Siemens Industrial Edge App Publisher 1.23.5-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Type Confusion
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Siemens
Érintett rendszer(ek):
- TeleControl Server Basic V3.1 V3.1.2.2 és újabb, de V3.1.2.3-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-40765)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2025.10.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ OPC UA Server Expert SV2.01 SP3-nál korábbi verziói;
- EcoStruxure™ Modicon Communication Server minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-10085)/súlyos;
Javítás: Részben elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- PanelView Plus 7 Terminal 14-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2025-9066)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-03

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ArmorStart AOP V2.05.07-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncaught Exception (CVE-2025-9437)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-04

Bejelentés dátuma: 2025.10.16.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MACH GWS 3.0.0.0-tól 3.4.0.0-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2025-39201)/közepes;
- Improper Validation of Integrity Check Value (CVE-2025-39203)/közepes;
- Improper Certificate Validation (CVE-2025-39205)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-11

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk Linx 6.40-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Privilege Chaining (CVE-2025-9067)/súlyos;
- Privilege Chaining (CVE-2025-9068)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-02

Bejelentés dátuma: 2025.10.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View Machine Edition V15.00 verziója;
- PanelView Plus 7 V14.100 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-9064)/súlyos;
- Improper Authorization (CVE-2025-9063)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-01

Bejelentés dátuma: 2025.10.17.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-G9010 sorozatú eszközök v3.14-es és korábbi verziói;
- EDR-8010 sorozatú eszközök v3.17-es és korábbi verziói;
- EDF-G1002-BP sorozatú eszközök v3.17-es és korábbi verziói;
- TN-4900 sorozatú eszközök v3.14-es és korábbi verziói;
- NAT-102 sorozatú eszközök v3.17-es és korábbi verziói;
- NAT-108 sorozatú eszközök v3.16-os és korábbi verziói;
- OnCell G4302-LTE4 sorozatú eszközök v3.13-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Authorization (CVE-2025-6892)/súlyos;
- Execution with Unnecessary Privileges (CVE-2025-6893)/kritikus;
- Execution with Unnecessary Privileges (CVE-2025-6894)/közepes;
- Execution with Unnecessary Privileges (CVE-2025-6949)/kritikus;
- Use of Hard-coded Credentials (CVE-2025-6950)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Moxa

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.