Bejelentés dátuma: 2026.02.04.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-4500A sorozatú eszközök v4.1-es és korábbi firmware-verziói;
- TN-5500A sorozatú eszközök v4.1-es és korábbi firmware-verziói;
- TN-G4500 sorozatú eszközök v5.5-ös és korábbi firmware-verziói;
- TN-G6500 sorozatú eszközök v5.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Security Through Obscurity (CVE-2024-12297)/kritikus;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2026.02.06.
Gyártó: Moxa
Érintett rendszer(ek):
- UC-1200A sorozatú eszközök v1.4-es és korábbi verziói;
- UC-2200A sorozatú eszközök v1.4-es és korábbi verziói;
- UC-3400A sorozatú eszközök v1.2-es és korábbi verziói;
- UC-4400A sorozatú eszközök v1.3-as és korábbi verziói;
- UC-8200 sorozatú eszközök v1.5-ös és korábbi verziói;
- V1200 sorozatú eszközök v1.2.0 és korábbi verziói;
- V2406C WL modellek v1.2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2026-0714)/súlyos;
- Insufficiently Protected Credentials (CVE-2026-0715)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2026.02.10.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxureTM Building Operation Workstation minden, 7.0.3.2000 (CP1)-nél korábbi 7.0.x verziója;
- EcoStruxureTM Building Operation WebStation minden, 6.0.4.14001 (CP10)-nél korábbi 6.0.x verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of XML External Entity Reference (CVE-2026-1227)/súlyos;
- Improper Control of Generation of Code (CVE-2026-1226)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEC NMS minden verziója;
- User Management Component (UMC) minden, V2.15.2.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2026-25655)/súlyos;
- Uncontrolled Search Path Element (CVE-2026-25656)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Polarion V2404 minden, V2404.5-nél korábbi verziója;
- Polarion V2410 minden, V2410.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-40587)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Desigo CC termékcsalád V6 minden verziója;
- Desigo CC termékcsalád V7 minden verziója;
- Desigo CC termékcsalád V8 minden, V8.0 QU2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2023-38545)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Solid Edge mindne, V226.00 Update 03-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2025-40936)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Siveillance Video V2023 R1 minden, V23.1 HotfixRev18-nál korábbi verziója;
- Siveillance Video V2023 R2 minden, V23.2 HotfixRev18-nál korábbi verziója;
- Siveillance Video V2023 R3 minden, V23.3 HotfixRev23-nál korábbi verziója;
- Siveillance Video V2024 R1 minden, V24.1 HotfixRev14-nél korábbi verziója;
- Siveillance Video V2025 minden, V25.1 HotfixRev8-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authorization (CVE-2025-0836)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- NX minden, V2512-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2026-22923)/súlyos;
- Out-of-bounds Read (CVE-2026-22923)/súlyos;
- Out-of-bounds Read (CVE-2026-22925)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.02.10.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap minden, V2512-nél korábbi verziói;
- Simcenter Nastran minden, V2512-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2026-23715)/súlyos;
- Out-of-bounds Read (CVE-2026-23716)/súlyos;
- Out-of-bounds Read (CVE-2026-23717)/súlyos;
- Out-of-bounds Read (CVE-2026-23718)/súlyos;
- Heap-based Buffer Overflow (CVE-2026-23719)/súlyos;
- Out-of-bounds Read (CVE-2026-23720)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2026.02.12.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- SuprOS 9.2.1 és korábbi verziói;
- SuprOS 9.2.2.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Default Credentials (CVE-2025-7740)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-043-09

Bejelentés dátuma: 2026.02.12.
Gyártó: Airleader
Érintett rendszer(ek):
- Airleader Master 6.381-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Unrestricted Upload of File with Dangerous Type (CVE-2026-1358)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-043-10

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Oren Niskin még tavaly októberben publikálta a Webs of Deception című munkáját a SANS Reading Room-ban. Célja, ahogy a kutatási eredményeit bejelentő LinkedIn posztjában írja, az volt, hogy az ICS Cyber Kill Chain-re és a SANS ICS 515 (2., frissített változat) tanfolyamán elérhető labor ICS környezetre építve olyan detekciós módszertant és megoldást dolgozott ki, aminek alkalmazásával az ICS/OT rendszereket célzó támadókat még az előtt észlelni lehet, mielőtt elérnék a folyamatirányító rendszereket. Különösen fontos, hogy a Oren célja egy olyan megoldás kidolgozása volt, amit a kisméretű, ezért erősen korlátozott biztonsági erőforrásokkal rendelkező helyi közüzemi szolgáltatók is képesek lehetnek alkalmazni.

A Webs of Deception tanulmány SANS white paper-ök között érhető el: https://www.sans.org/white-papers/webs-deception-using-sans-ics-kill-chain-flip-advantage-defender

Bejelentés dátuma: 2026.01.27.
Gyártó: Festo
Érintett rendszer(ek):
- Windows 10-zel szállított Festo Didactic SE MES PC;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Buffer Over-read (CVE-2019-11036)/kritikus;
- Cross-site Scripting (CVE-2023-25727)/közepes;
- Improper Input Validation (CVE-2021-2011)/közepes;
- Improper Handling of Values (CVE-2022-32083)/súlyos;
- Uncontrolled Resource Consumption (CVE-2021-46668)/közepes;
- Argument Injection (CVE-2018-19518)/súlyos;
- Improper Input Validation (CVE-2021-2194)/közepes;
- Double Free (CVE-2019-11049)/kritikus;
- Classic Buffer Overflow (CVE-2022-31626)/súlyos;
- Improper Handling of Values (CVE-2022-32084)/súlyos;
- Improper Handling of Values (CVE-2022-32088)/súlyos;
- Use After Free (CVE-2022-27377)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2020-2922)/alacsony;
- Out-of-bounds Read (CVE-2019-9638)/súlyos;
- Improper Null Termination (CVE-2019-11044)/súlyos;
- Use After Free (CVE-2020-7068)/alacsony;
- Improper Input Validation (CVE-2020-7069)/közepes;
- Use After Free (CVE-2015-2301)/kritikus;
- Incorrect Calculation of Buffer Size (CVE-2023-0568)/súlyos;
- Use After Free (CVE-2022-27458)/súlyos;
- Path Traversal (CVE-2021-21706)/közepes;
- Reachable Assertion (CVE-2022-27452)/súlyos;
- Improper Input Validation (CVE-2020-7071)/közepes;
- Classic Buffer Overflow (CVE-2022-27387)/súlyos;
- Use After Free (CVE-2022-27376)/súlyos;
- Classic Buffer Overflow (CVE-2019-11043)/kritikus;
- Improper Input Validation (CVE-2021-2032/közepes;
- Improper Input Validation (CVE-2021-2007/alacsony;
- Improper Null Termination (CVE-2019-11045)/közepes;
- Improper Input Validation (CVE-2022-27445)/súlyos;
- Use After Free (CVE-2022-27457)/súlyos;
- SQL Injection (CVE-2022-27384)/súlyos;
- Cross-site Scripting (CVE-2022-23808)/közepes;
- Use of Password Hash With Insufficient Computational Effort (CVE-2023-0567)/közepes;
- Out-of-bounds Write (CVE-2019-9025)/kritikus;
- SQL Injection (CVE-2022-27379)/súlyos;
- Incorrect Privilege Assignment (CVE-2019-9637)/súlyos;
- Code Injection (CVE-2021-27928)/súlyos;
- Out-of-bounds Write (CVE-2021-21703)/súlyos;
- Improper Input Validation (CVE-2020-2760)/közepes;
- Improper Input Validation (CVE-2021-2166)/közepes;
- Use After Free (CVE-2015-2787)/kritikus;
- Improper Authentication (CVE-2022-23807)/közepes;
- Improper Input Validation (CVE-2020-2752)/közepes;
- Reachable Assertion (CVE-2021-46666)/közepes;
- Improper Input Validation (CVE-2020-2814)/közepes;
- Stack-based Buffer Overflow (CVE-2020-7065)/súlyos;
- Improper Input Validation (CVE-2021-21705)/közepes;
- NULL Pointer Dereference (CVE-2020-7062)/súlyos;
- Out-of-bounds Read (CVE-2019-11039)/kritikus;
- Out-of-bounds Read (CVE-2019-11035)/kritikus;
- Use After Free (CVE-2022-27447)/súlyos;
- Out-of-bounds Read (CVE-2019-11046)/közepes;
- Reachable Assertion (CVE-2022-27446)/súlyos;
- SQL Injection (CVE-2022-27386)/súlyos;
- Missing Initialization of Resource (CVE-2019-9639)/súlyos;
- Out-of-bounds Read (CVE-2019-11042)/súlyos;
- SQL Injection (CVE-2022-27385)/súlyos;
- Out-of-bounds Read (CVE-2020-7059)/kritikus;
- Improper Input Validation (CVE-2020-7070)/közepes;
- Use After Free (CVE-2022-32091)/súlyos;
- Null Byte Interaction Error (Poison Null Byte) (CVE-2015-2348)/kritikus;
- Out-of-bounds Read (CVE-2019-9020)/kritikus;
- Improper Input Validation (CVE-2021-35604)/közepes;
- SQL Injection (CVE-2022-27444)/súlyos;
- Out-of-bounds Read (CVE-2018-14883)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2014-9705)/kritikus;
- Out-of-bounds Read (CVE-2020-7064)/közepes;
- Reachable Assertion (CVE-2022-27382)/súlyos;
- Improper Preservation of Permissions (CVE-2020-7063)/közepes;
- Improper Input Validation (CVE-2021-2372)/közepes;
- Out-of-bounds Read (CVE-2019-9021)/kritikus;
- Out-of-bounds Read (CVE-2018-14851)/közepes;
- Reachable Assertion (CVE-2022-27448)/súlyos;
- Improper Input Validation (CVE-2021-46663)/közepes;
- Improper Input Validation (CVE-2021-2180)/közepes;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2014-9709)/kritikus;
- HTTP Request/Response Smuggling (CVE-2023-25690)/kritikus;
- Reachable Assertion (CVE-2022-32082)/súlyos;
- Improper Input Validation (CVE-2022-31629)/közepes;
- Out-of-bounds Read (CVE-2019-9022)/súlyos;
- Integer Overflow or Wraparound (CVE-2016-3078)/kritikus;
- Uncontrolled Resource Consumption (CVE-2023-0662)/súlyos;
- Improper Input Validation (CVE-2021-2022)/közepes;
- Improper Handling of Values (CVE-2022-32089)/súlyos;
- Uncontrolled Resource Consumption (CVE-2019-11048)/közepes;
- Use After Free (CVE-2021-46669)/súlyos;
- Out-of-bounds Read (CVE-2019-11047)/közepes;
- Use After Free (CVE-2022-27383)/súlyos;
- Integer Overflow or Wraparound (CVE-2021-46667)/közepes;
- Improper Handling of Values (CVE-2022-32087)/súlyos;
- HTTP Request/Response Smuggling (CVE-2022-36760)/kritikus;
- Out-of-bounds Read (CVE-2020-7060)/kritikus;
- Cross-site Scripting (CVE-2018-17082)/közepes;
- Out-of-bounds Read (CVE-2019-9640)/súlyos;
- Improper Input Validation (CVE-2021-46661)/közepes;
- Out-of-bounds Read (CVE-2019-11034)/kritikus;
- Use After Free (CVE-2022-27456)/súlyos;
- Out-of-bounds Read (CVE-2020-7061)/kritikus;
- Use After Free (CVE-2022-27455)/súlyos;
- Improper Input Validation (CVE-2021-2144)/súlyos;
- Improper Input Validation (CVE-2021-2154)/közepes;
- Improper Input Validation (CVE-2022-21595)/közepes;
- Out-of-bounds Read (CVE-2019-11040)/kritikus;
- Improper Input Validation (CVE-2021-2389)/közepes;
- HTTP Request/Response Smuggling (CVE-2023-27522)/súlyos;
- Improper Input Validation (CVE-2020-2812)/közepes;
- Improper Input Validation (CVE-2021-46665)/közepes;
- Improper Handling of Values (CVE-2022-32086)/súlyos;
- Improper Handling of Values (CVE-2022-32085)/súlyos;
- Out-of-bounds Read (CVE-2021-21704)/közepes;
- Improper Null Termination (CVE-2020-7066)/közepes;
- Uncontrolled Recursion (CVE-2022-31628)/közepes;
- Improper Input Validation (CVE-2021-46662)/közepes;
- Open Redirect (CVE-2016-5385)/súlyos;
- HTTP Request/Response Splitting (CVE-2022-37436)/közepes;
- Injection (CVE-2013-6501)/súlyos;
- NULL Pointer Dereference (CVE-2021-21702)/súlyos;
- Out-of-bounds Read (CVE-2019-9024)/súlyos;
- Out-of-bounds Read (CVE-2019-9023)/kritikus;
- Reachable Assertion (CVE-2022-27449)/súlyos;
- NULL Pointer Dereference (CVE-2021-46664)/közepes;
- Out-of-bounds Read (CVE-2019-11050)/közepes;
- Use After Free (CVE-2021-21708)/kritikus;
- Free of Memory not on the Heap (CVE-2022-31625)/súlyos;
- Use After Free (CVE-2022-32081)/súlyos;
- SQL Injection (CVE-2022-27378)/súlyos;
- Out-of-bounds Write (CVE-2006-20001)/súlyos;
- NULL Pointer Dereference (CVE-2018-19935)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-4900)/közepes;
- Use After Free (CVE-2018-12882)/kritikus;
- Use of Uninitialized Resource (CVE-2019-9641)/kritikus;
- SQL Injection (CVE-2022-27380)/súlyos;
- SQL Injection (CVE-2022-27381)/súlyos;
- Improper Handling of Invalid Use of Special Elements (CVE-2021-21707)/közepes;
- Improper Use of Validation Framework (CVE-2022-27451)/súlyos;
- Uncontrolled Resource Consumption (CVE-2020-2780)/közepes;
- Out-of-bounds Read (CVE-2019-11041)/súlyos;
- Improper Input Validation (CVE-2021-2174)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-02

Bejelentés dátuma: 2026.02.03.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- FREQSHIP-mini for Windows 8.0.0 és újabb, de 8.0.2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2025-10314)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-034-01

Bejelentés dátuma: 2026.02.03.
Gyártó: Avation
Érintett rendszer(ek):
- Avation Light Engine Pro minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-1341)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-034-02

Bejelentés dátuma: 2026.02.03.
Gyártó: RISS SRL
Érintett rendszer(ek):
- RISS SRL MOMA Seismic Station v2.4.2520-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-1632)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-034-03

Bejelentés dátuma: 2026.02.03.
Gyártó: Synectix
Érintett rendszer(ek):
- Synectix LAN 232 TRIO minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-1633)/kritikus;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-034-04

Bejelentés dátuma: 2026.02.05.
Gyártó: TP-Link
Érintett rendszer(ek):
- TP-Link Systems Inc. VIGI Cx45 C345 és C445 modellek 3.1.0_Build_250820_Rel.57668n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx55 C355 és C455 modellek 3.1.0_Build_250820_Rel.57668n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx85 C385 és C485 modellek 3.0.2_Build_250630_Rel.71279n és korábbi verziói;
- TP-Link Systems Inc. VIGI C340S sorozatú eszközök 3.1.0_Build_250625_Rel.65381n és korábbi verziói;
- TP-Link Systems Inc. VIGI C540S C540S és EasyCam C540S modellek 3.1.0_Build_250625_Rel.66601n és korábbi verziói;
- TP-Link Systems Inc. VIGI C540V sorozatú eszközök 2.1.0_Build_250702_Rel.54300n és korábbi verziói;
- TP-Link Systems Inc. VIGI C250 sorozatú eszközök 2.1.0_Build_250702_Rel.54301n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx50 C350 és C450 modellek 2.1.0_Build_250702_Rel.54294n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx20I (1.0) C220I 1.0, C320I 1.0 és C420I 1.0 2.1.0_Build_251014_Rel.58331n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx20I (1.20) C220I 1.20, C320I 1.20, C420I 1.20 2.1.0_Build_250701_Rel.44071n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx30I (1.0) C230I 1.0, C330I 1.0, C430I 1.0 2.1.0_Build_250701_Rel.45506n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx30I (1.20) C230I 1.20, C330I 1.20, C430I 1.20 2.1.0_Build_250701_Rel.44555n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx30 (1.0) C230 1.0, C330 1.0, C430 1.0 2.1.0_Build_250701_Rel.46796n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx30 (1.20) C230 1.20, C330 1.20, C430 1.20 2.1.0_Build_250701_Rel.46796n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx40I (1.0) C240I 1.0, C340I 1.0, C440I 1.0 2.1.0_Build_250701_Rel.46003n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx40I (1.20) C240I 1.20, C340I 1.20, C440I 1.20 2.1.0_Build_250701_Rel.45041n és korábbi verziói;
- TP-Link Systems Inc. VIGI C230I Mini 2.1.0_Build_250701_Rel.47570n és korábbi verziói;
- TP-Link Systems Inc. VIGI C240 1.0 2.1.0_Build_250701_Rel.48425n és korábbi verziói;
- TP-Link Systems Inc. VIGI C340 2.0 2.1.0_Build_250701_Rel.49304n és korábbi verziói;
- TP-Link Systems Inc. VIGI C440 2.0 2.1.0_Build_250701_Rel.49778n és korábbi verziói;
- TP-Link Systems Inc. VIGI C540 2.0 2.1.0_Build_250701_Rel.50397n és korábbi verziói;
- TP-Link Systems Inc. VIGI C540-4G 2.2.0_Build_250826_Rel.56808n és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx40-W C340‑W 2.0/2.20, C440‑W 2.0, C540‑W 2.0 2.1.1_Build_250717 és korábbi verziói;
- TP-Link Systems Inc. VIGI Cx20 C320, C420 2.1.0_Build_250701_Rel.39597n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx45 S245, S345, S445 3.1.0_Build_250820_Rel.57668n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx55 S355, S455 3.1.0_Build_250820_Rel.58873n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx85 S285, S385 3.0.2_Build_250630_Rel.71279n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx45ZI S245ZI, S345ZI, S445ZI 1.2.0_Build_250820_Rel.60930n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx85PI S385PI, S485PI 1.2.0_Build_250827_Rel.66817n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight S655I 1.1.1_Build_250625_Rel.64224n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight S345-4G 2.1.0_Build_250725_Rel.36867n és korábbi verziói;
- TP-Link Systems Inc. VIGI InSight Sx25 S225, S325, S425 1.1.0_Build_250630_Rel.39597n és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2026-0629)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-01

Bejelentés dátuma: 2026.02.05.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Mitsubishi Electric MELSEC iQ-R sorozatú R08/16/32/120PCPU eszközök 48-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2025-15080)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-02

Bejelentés dátuma: 2026.02.05.
Gyártó: o6 Automation GmbH
Érintett rendszer(ek):
- Open62541 1.5-rc1-nél újabb ,de 1.5-rc2-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2026-1301)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-03

Bejelentés dátuma: 2026.02.05.
Gyártó: Ilevia
Érintett rendszer(ek):
- Ilevia EVE X1 Server 4.7.18.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-34185)/súlyos;
- OS Command Injection (CVE-2025-34184)/kritikus;
- Insertion of Sensitive Information into Log File (CVE-2025-34183)/kritikus;
- OS Command Injection (CVE-2025-34186)/kritikus;
- OS Command Injection (CVE-2025-34187)/kritikus;
- Path Traversal (CVE-2025-34517)/súlyos;
- Path Traversal (CVE-2025-34518)/súlyos;
- Cross-site Scripting (CVE-2025-34512)/közepes;
- OS Command Injection (CVE-2025-34513)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-04

Bejelentés dátuma: 2026.02.05.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- XMC20 R18-as, R17A és korábbi verziói;
- FOX61x R18-as, R17A és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Enforcement of Message Integrity During Transmission in a Communication Channel (CVE-2024-3596)/kritikus;
Javítás: Elérhető
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-05, https://www.cisa.gov/news-events/ics-advisories/icsa-26-036-06

Bejelentés dátuma: 2026.02.10.
Gyártó: Yokogawa
Érintett rendszer(ek):
- Yokogawa FAST/TOOLS R9.01 és újabb, R10.04-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Generation of Error Message Containing Sensitive Information (CVE-2025-66594)/közepes;
- Cross-Site Request Forgery (CSRF) (CVE-2025-66595)/közepes;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-66597)/súlyos;
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2025-66598)/súlyos;
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2025-66599)/közepes;
- Improperly Implemented Security Check for Standard (CVE-2025-66600)/súlyos;
- Improperly Implemented Security Check for Standard (CVE-2025-66601)/közepes;
- Reliance on IP Address for Authentication (CVE-2025-66602)/közepes;
- Improperly Implemented Security Check for Standard (CVE-2025-66603)/alacsony;
- Cleartext Transmission of Sensitive Information (CVE-2025-66604)/alacsony;
- Exposure of Private Personal Information to an Unauthorized Actor (CVE-2025-66605)/alacsony;
- Improper Neutralization of Invalid Characters in Identifiers in Web Pages (CVE-2025-66606)/alacsony;
- Improperly Implemented Security Check for Standard (CVE-2025-66607)/alacsony;
- Path Traversal (CVE-2025-66608)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-01

Bejelentés dátuma: 2026.02.10.
Gyártó: ZLAN Information Technology Co.
Érintett rendszer(ek):
- ZLAN5143D v1.600 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-25084)/kritikus;
- Missing Authentication for Critical Function (CVE-2026-24789)/kritikus;
Javítás: Nincs információ.
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-02

Bejelentés dátuma: 2026.02.10.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA PI Data Archive PI Server 2018_SP3_Patch_7-es és korábbi verziói;
- AVEVA PI Data Archive PI Server 2023 verziója;
- AVEVA PI Data Archive PI Server 2023_Patch_1 verziója;
- AVEVA PI Data Archive PI Server 2024 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncaught Exception (CVE-2026-1507)/súlyos;
Javítás: Elérhető
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-03

Bejelentés dátuma: 2026.02.10.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA PI to CONNECT Agent v2.4.2520-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Log File (CVE-2026-1495)/közepes;
Javítás: Elérhető
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-04

Bejelentés dátuma: 2026.02.10.
Gyártó: ZOLL
Érintett rendszer(ek):
- ZOLL ePCR IOS mobil alkalmazás 2.6.7-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insertion of Sensitive Information into Externally-Accessible File or Directory (CVE-2025-12699)/közepes;
Javítás: Nincs, a termék támogatása megszűnt.
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-041-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Dragos által Bauxite-nak nevezett APT-csoport az elemzők szerint legalább is részleges átfedésben lehet az iráni kötődésű CyberAv3ngers csoporttal. A Bauxite jellemzően publikusan elérhető exploitokat és a Kali Linux-ban is elérhető eszközöket használja, ezeket felhasználva azonban képesek az ICS Cyber Kill Chain második szintjéhez tartozó tevékenységeket végrehajtani és sikeres támadásokat végrehajtani PLC-k ellen valamint egyedi backdoor-okat telepíteni különböző OT eszközökben. A Bauxite csoportról további részleteket a Dragos cikkében lehet olvasni: https://www.dragos.com/threat/bauxite/

Bejelentés dátuma: 2026.01.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Process Expert minden, 2025-nélk korábbi verziója;
- EcoStruxure™ Process Expert for AVEVA System Platform minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2025-13905)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2026.01.20.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- HMISCU vezérlők;
- Modicon LMC078vezérlők;
- Modicon M241 vezérlők;
- Modicon M251 vezérlők;
- Modicon M262 vezérlők;
- Modicon M258 vezérlők;
- Modicon LMC058 vezérlők;
- Modicon M218 vezérlők;
- PacDrive 3 vezérlők;
- EcoStruxure Machine Expert-be beágyazott SoftSPS;
- EcoStruxure Machine Expert-be beágyazott Vijeo Designer;
- Harmony (korábban Magelis) HMIGK/HMIGTO/HMIGTU/HMIGTUX/HMISTU sorozatok;
- Easy Harmony HMIET6/HMIFT6 Magelis HMIGXU sorozatok;
- HMISCU vezérlők;
- Modicon M241 vezérlők;
- Modicon M251 vezérlők;
- Modicon M262 vezérlők;
- PacDrive 3 vezérlők: LMC Eco/Pro/Pro2;
- Harmony (korábban Magelis) HMIGK/HMIGTO/HMIGTU/HMIGTUX/HMISTU sorozatú eszközök Vijeo Designer runtime-mal használt iPC sorozatai;
- Vijeo Designer Basic;
- Harmony iPC sorozatok;
- Magelis XBT sorozatok;
- Easy Modicon M310;
- Harmony P6 sorozatok;
- Vijeo Designer runtime;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2022-4046)/súlyos;
- Improper Validation of Integrity Check Value (CVE-2023-28355)/közepes;
- Improper Validation of Consistency within Input (CVE-2022-47378)/közepes;
- Out-of-bounds Write (CVE-2022-47379)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47380)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47381)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47382)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47383)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47384)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47386)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47387)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47388)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47389)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47390)/súlyos;
- Stack-based Buffer Overflow (CVE-2022-47385)/súlyos;
- Improper Validation of Consistency within Input (CVE-2022-47392)/közepes;
- Untrusted Pointer Dereference (CVE-2022-47393)/közepes;
- Improper Validation of Consistency within Input (CVE-2022-47391)/súlyos;
- Improper Input Validation (CVE-2023-37545)/közepes;
- Improper Input Validation (CVE-2023-37546)/közepes;
- Improper Input Validation (CVE-2023-37547)/közepes;
- Improper Input Validation (CVE-2023-37548)/közepes;
- Improper Input Validation (CVE-2023-37549)/közepes;
- Improper Input Validation (CVE-2023-37550)/közepes;
- Files or Directories Accessible to External Parties (CVE-2023-37551)/közepes;
- Improper Input Validation (CVE-2023-37552)/közepes;
- Improper Input Validation (CVE-2023-37553)/közepes;
- Improper Input Validation (CVE-2023-37554)/közepes;
- Improper Input Validation (CVE-2023-37555)/közepes;
- Improper Input Validation (CVE-2023-37556)/közepes;
- Out-of-bounds Write (CVE-2023-37557)/közepes;
- Improper Input Validation (CVE-2023-37558)/közepes;
- Improper Input Validation (CVE-2023-37559)/közepes;
- Uncontrolled Search Path Element (CVE-2023-3662)/közepes;
- Improper Enforcement of Message Integrity During Transmission in a Communication Channel (CVE-2023-3663)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2023-3669)/alacsony;
- Exposure of Resource to Wrong Sphere (CVE-2023-3670)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-020-02

Bejelentés dátuma: 2026.01.20.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation Verve Asset Manager 1.33-as verziója;
- Rockwell Automation Verve Asset Manager 1.34-es verziója;
- Rockwell Automation Verve Asset Manager 1.35-ös verziója;
- Rockwell Automation Verve Asset Manager 1.36-os verziója;
- Rockwell Automation Verve Asset Manager 1.37-es verziója;
- Rockwell Automation Verve Asset Manager 1.38-as verziója;
- Rockwell Automation Verve Asset Manager 1.39-es verziója;
- Rockwell Automation Verve Asset Manager 1.40-es verziója;
- Rockwell Automation Verve Asset Manager 1.41-es verziója;
- Rockwell Automation Verve Asset Manager 1.41.1-es verziója;
- Rockwell Automation Verve Asset Manager 1.41.2-es verziója;
- Rockwell Automation Verve Asset Manager 1.41.3-as verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insecure Storage of Sensitive Information (CVE-2025-14376)/súlyos;
- Cleartext Storage of Sensitive Information (CVE-2025-14377)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-020-03

Bejelentés dátuma: 2026.01.21.
Gyártó: Belden
Érintett rendszer(ek):
- NetModule Connectivity Suite 3.7.5-ös és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Information Exposure (CVE-2025-14847)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Belden

Bejelentés dátuma: 2026.01.22.
Gyártó: AutomationDirect
Érintett rendszer(ek):
- AutomationDirect CLICK Programmable Logic Controller C0-0x verziója;
- AutomationDirect CLICK Programmable Logic Controller C0-1x verziója;
- AutomationDirect CLICK Programmable Logic Controller C2-x verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Weak Encoding for Password (CVE-2025-67652)/közepes;
- Plaintext Storage of a Password (CVE-2025-25051)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-02

Bejelentés dátuma: 2026.01.22.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation CompactLogix 5370 34.013-as és korábbi verziói;
- Rockwell Automation CompactLogix 5370 35.012-es és korábbi verziói;
- Rockwell Automation CompactLogix 5370 36.011-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Specified Quantity in Input (CVE-2025-11743)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-03

Bejelentés dátuma: 2026.01.22.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Johnson Controls Inc. iSTAR Configuration Utility (ICU) tool 6.9.7-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2025-26386)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-04

Bejelentés dátuma: 2026.01.22.
Gyártó: Weintek
Érintett rendszer(ek):
- Weintek cMT3072XH 20200630-nál újabb, de 20241112-nél korábbi verziói;
- Weintek cMT3072XH(T) 20200630-nál újabb, de 20241112-nél korábbi verziói;
- Weintek cMT-SVRX-820 20220413-nál újabb, de 20240919-nél korábbi verziói;
- Weintek cMT-CTRL01 20230308-nál újabb, de 20250827-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- External Control of Assumed-Immutable Web Parameter (CVE-2025-14750)/súlyos;
- Unverified Password Change (CVE-2025-14751)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-05

Bejelentés dátuma: 2026.01.22.
Gyártó: Hubitat
Érintett rendszer(ek):
- Hubitat Elevation C3 2.4.2.157-nél korábbi firmware-verziói;
- Hubitat Elevation C4 2.4.2.157-nél korábbi firmware-verziói;
- Hubitat Elevation C5 2.4.2.157-nél korábbi firmware-verziói;
- Hubitat Elevation C7 2.4.2.157-nél korábbi firmware-verziói;
- Hubitat Elevation C8 2.4.2.157-nél korábbi firmware-verziói;
- Hubitat Elevation C8 pro 2.4.2.157-nél korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authorization Bypass Through User-Controlled Key (CVE-2026-1201)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-06

Bejelentés dátuma: 2026.01.22.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- Delta Electronics DIAView 4.2.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2026-0975)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-07

Bejelentés dátuma: 2026.01.22.
Gyártó: EVMAPA
Érintett rendszer(ek):
- EVMAPA töltőállomások minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2025-54816)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2025-53968)/súlyos;
- Insufficient Session Expiration (CVE-2025-55705)/súlyos;
Javítás: Részben javításra került.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-08

Bejelentés dátuma: 2026.01.27.
Gyártó: iba Systems
Érintett rendszer(ek):
- iba Systems ibaPDA 8.12.0 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2025-14988)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-01

Bejelentés dátuma: 2026.01.27.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Zigbee termékek Wiser iTRV2 verziója;
- Schneider Electric Zigbee termékek Wiser iTRV3 verziója;
- Schneider Electric Zigbee termékek Wiser RTR2 verziója;
- Schneider Electric Zigbee termékek Wiser UFH verziója;
- Schneider Electric Zigbee termékek Wiser 16A Electrical Heat Switch verziója;
- Schneider Electric Zigbee termékek Wiser Boiler Relay verziója;
- Schneider Electric Zigbee termékek Exxact cFMT 16a verziója;
- Schneider Electric Zigbee termékek Elko cFMT 16a verziója;
- Schneider Electric Zigbee termékek Odace cFMT 2a verziója;
- Schneider Electric Zigbee termékek Merten cFMT 16a verziója;
- Schneider Electric Zigbee termékek Merten cFMT 2a verziója;
- Schneider Electric Zigbee termékek Wiser Power Micromodule verziója;
- Schneider Electric Zigbee termékek Wiser FIP Micromodule verziója;
- Schneider Electric Zigbee termékek Iconic, Wiser Connected Smart Dimmer verziója;
- Schneider Electric Zigbee termékek Iconic, Wiser Connected Smart Switch, 2AX verziója;
- Schneider Electric Zigbee termékek Iconic, Wiser Connected Smart Switch, 10AX verziója;
- Schneider Electric Zigbee termékek Iconic, Connected AC Fan Controller verziója;
- Schneider Electric Zigbee termékek Iconic, Connected Smart Socket verziója;
- Schneider Electric Zigbee termékek Wiser Connected Application Module 1-Gang verziója;
- Schneider Electric Zigbee termékek Wiser Connected Application Module 2-Gang verziója;
- Schneider Electric Zigbee termékek Wiser Connected Push Button Dimmer verziója;
- Schneider Electric Zigbee termékek Wiser Connected Push Button Switch verziója;
- Schneider Electric Zigbee termékek Wiser Connected Push Button Shutter verziója;
- Schneider Electric Zigbee termékek Wiser Connected Motion Dimmer verziója;
- Schneider Electric Zigbee termékek Wiser Connected Motion Switch verziója;
- Schneider Electric Zigbee termékek Wiser Connected Rotary Dimmer verziója;
- Schneider Electric Zigbee termékek Connected Wireless Switch verziója;
- Schneider Electric Zigbee termékek Micromodule Switch verziója;
- Schneider Electric Zigbee termékek Micromodule Dimmer verziója;
- Schneider Electric Zigbee termékek Micromodule Shutter verziója;
- Schneider Electric Zigbee termékek Connected Single Socket Outlet verziója;
- Schneider Electric Zigbee termékek Connected Double Socket Outlet verziója;
- Schneider Electric Zigbee termékek Fuga Connected Socket Outlet verziója;
- Schneider Electric Zigbee termékek Mureva EV Link verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Classic Buffer Overflow (CVE-2024-6350)/közepes;
- Classic Buffer Overflow (CVE-2024-6351)/közepes;
- Classic Buffer Overflow (CVE-2024-6352)/közepes;
- Classic Buffer Overflow (CVE-2024-10106)/alacsony;
- Uncontrolled Resource Consumption (CVE-2024-7322)/közepes;
Javítás: Nincs a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-03

Bejelentés dátuma: 2026.01.27.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Metasys Application and Data Server (ADS) 14.1-es és korábbi verziói;
- Metasys Extended Application and Data Server (ADX) 14.1-es verziója;
- Metasys LCS8500 12.0 és újabb verziói, 14.1-el bezárólag;
- Metasys NAE8500 12.0 és újabb verziói, 14.1-el bezárólag;
- Metasys System Configuration Tool (SCT) 17.1-es és korábbi verziói;
- Metasys Controller Configuration Tool (CCT) 17.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2025-26385)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-04

Bejelentés dátuma: 2026.01.28.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM RST2428P (6GK6242-6PA00) minden, V3.3-nál korábbi verziója;
- SCALANCE XCH328 (6GK5328-4TS01-2EC2) minden, V3.3-nál korábbi verziója;
- SCALANCE XCM324 (6GK5324-8TS01-2AC2) minden, V3.3-nál korábbi verziója;
- SCALANCE XCM328 (6GK5328-4TS01-2AC2) minden, V3.3-nál korábbi verziója;
- SCALANCE XCM332 (6GK5332-0GA01-2AC2) minden, V3.3-nál korábbi verziója;
- SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (2x230 V AC, 8xFO) (6GK5334-2TS01-4AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (2x230 V AC, 12xFO) (6GK5334-3TS01-4AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (2x230V AC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-4AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (24 V DC, 8xFO) (6GK5334-2TS01-2AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (24 V DC, 12xFO) (6GK5334-3TS01-2AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (24V DC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-2AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (230 V AC, 8xFO) (6GK5334-2TS01-3AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) minden, V3.3-nál korábbi verziója;
- SCALANCE XRM334 (230V AC, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-3AR3) minden, V3.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Write (CVE-2022-48174)/súlyos;
- Double Free (CVE-2023-7256)/közepes;
- Improper Input Validation (CVE-2023-39810)/közepes;
- Use After Free (CVE-2023-42363)/közepes;
- Use After Free (CVE-2023-42364)/közepes;
- Use After Free (CVE-2023-42365)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2023-42366)/közepes;
- Free of Memory not on the Heap (CVE-2024-6197)/súlyos;
- Buffer Over-read (CVE-2024-6874)/alacsony;
- Out-of-bounds Read (CVE-2024-7264)/alacsony;
- NULL Pointer Dereference (CVE-2024-8006)/közepes;
- Improper Certificate Validation (CVE-2024-8096)/közepes;
- Incorrect Comparison (CVE-2024-9681)/közepes;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-11053)/alacsony;
- Path Traversal (CVE-2024-12718)/közepes;
- Improper Certificate Validation (CVE-2024-41996)/súlyos;
- Improper Certificate Validation (CVE-2024-47619)/súlyos;
- Out-of-bounds Write (CVE-2024-52533)/kritikus;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2025-0167)/alacsony;
- Multiple Releases of Same Resource or Handle (CVE-2025-0665)/súlyos;
- Integer Overflow to Buffer Overflow (CVE-2025-0725)/súlyos;
- Improper Access Control (CVE-2025-1390)/közepes;
- Integer Overflow or Wraparound (CVE-2025-3360)/alacsony;
- Path Traversal (CVE-2025-4138)/súlyos;
- Path Traversal (CVE-2025-4330)/súlyos;
- Buffer Underflow (CVE-2025-4373)/közepes;
- Incorrect Calculation (CVE-2025-4435)/súlyos;
- Use After Free (CVE-2025-4516)/közepes;
- Path Traversal (CVE-2025-4517)/kritikus;
- Stack-based Buffer Overflow (CVE-2025-6141)/alacsony;
- Out-of-bounds Read (CVE-2025-9086)/súlyos;
- Out-of-bounds Write (CVE-2025-9230)/közepes;
- Covert Timing Channel (CVE-2025-9231)/közepes;
- Out-of-bounds Read (CVE-2025-9232)/közepes;
- Generation of Predictable Numbers or Identifiers (CVE-2025-10148)/közepes;
- Covert Timing Channel (CVE-2025-27587)/közepes;
- Missing Authentication for Critical Function (CVE-2025-32433)/kritikus;
- Improper Input Validation (CVE-2025-38084)/súlyos;
- Improper Input Validation (CVE-2025-38085)/közepes;
- Improper Input Validation (CVE-2025-38086)/súlyos;
- Improper Input Validation (CVE-2025-38345)/közepes;
- Improper Input Validation (CVE-2025-38350)/súlyos;
- Improper Input Validation (CVE-2025-38498)/súlyos;
- Improper Input Validation (CVE-2025-39839)/közepes;
- Improper Input Validation (CVE-2025-39841)/súlyos;
- Improper Input Validation (CVE-2025-39846)/közepes;
- Improper Input Validation (CVE-2025-39853)/közepes;
- Improper Input Validation (CVE-2025-39860)/súlyos;
- Improper Input Validation (CVE-2025-39864)/súlyos;
- Improper Input Validation (CVE-2025-39865)/súlyos;
- Allocation of Resources Without Limits or Throttling (CVE-2025-59375)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2026.01.29.
Gyártó: KiloView
Érintett rendszer(ek):
- KiloView Encoder Series E1 hardware Version 1.4 4.7.2516-os verziója;
- KiloView Encoder Series E1 hardware Version 1.6.20 4.7.2511-es, 4.8.2523-as, 4.8.2611-es, 4.6.2400-as, 4.7.2512-es, 4.8.2561-es, 4.8.2554-es, 4.3.2029-es, 4.8.2555-ös és 4.6.2408-as verziói;
- KiloView Encoder Series E1-s hardware Version 1.4 4.7.2516-os, 4.8.2519-es, 4.8.2525-ös, 4.8.2611-es, 4.8.2561-es, 4.8.2554-es és 4.8.2523-as verziói;
- KiloView Encoder Series E2 hardware Version 1.7.20 4.8.2611-es és 4.8.2561-es verziói;
- KiloView Encoder Series E2 hardware Version 1.8.20 4.8.2523-as, 4.8.2611-es és 4.8.2554-es verziói;
- KiloView Encoder Series G1 hardware Version 1.6.20 4.8.2561-es verziója;
- KiloView Encoder Series P1 hardware Version 1.3.20 4.8.2633-as és 4.8.2608-as verziói;
- KiloView Encoder Series P2 hardware Version 1.8.20 4.8.2633-as verziója;
- KiloView Encoder Series RE1 hardware Version 2.0.00 4.7.2513-as verziója;
- KiloView Encoder Series RE1 hardware Version 3.0.00 4.8.2519-es, 4.8.2561-es, 4.8.2611-es és 4.8.2525-ös verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2026-1453)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-029-01

Bejelentés dátuma: 2026.01.29.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation ArmorStart LT 290D V2.002-es és korábbi verziói;
- Rockwell Automation ArmorStart LT 291D V2.002-es és korábbi verziói;
- Rockwell Automation ArmorStart LT 294D V2.002-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2025-9464)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9465)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9466)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9278)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9279)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9280)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9281)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9282)/súlyos;
- Uncontrolled Resource Consumption (CVE-2025-9283)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-029-02

Bejelentés dátuma: 2026.01.29.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Rockwell Automation ControlLogix Redundancy Enhanced Module Catalog 1756-RM2 minden firmware-verziója;
- Rockwell Automation ControlLogix Redundancy Enhanced Module Catalog 1756-RM2XT minden firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Release of Memory after Effective Lifetime (CVE-2025-14027)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-029-03

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A mai poszt témáját azok a hálózati csomagok adják, amik a különböző IoT és beágyazott rendszerekben egyetlen egyszer, az első bekapcsolásuk és konfigurálásuk során születnek és többet soha nem lehet látni őket. Ezek között olyan hálózati csomagok vannak, amik az alábbi műveletekhez kötődnek:

- gyártói felhővel történő kommunikáció az első regisztrációhoz;
- titkosításhoz kapcsolódó adatok (secrets) generálásával kapcsolatos kommunikáció;
- firmware vagy konfigurációs blob-ok letöltése;
- "hazatelefonálás", olyan módon, ahogy később már nem teszi az eszköz;

Az ilyen és hasonló kommunikációkból számos, kiberbiztonsági szempontból fontos információt lehet megtudni, ehhez pedig két dolog kell:

Egyrészt egy eszköz, ami képes rögzíteni az IoT és beágyazott rendszerek kezdeti kommunikációjának maradéktalan rögzítésére, másrészt pedig egy jól kidolgozott és fegyelmezetten követett üzembe helyezési eljárásra. Az első még csak-csak létezhet a legtöbb szervezetnél, de a második gyakran hiányzik - hiszen az ilyen megoldásokat üzembe helyező szakemberek (bár saját területükön lehet, hogy tapasztaltak és jók, de) nincsenek tisztában az első kommunikáció információtartalmának fontosságával és megismételhetetlenségével.

Figyelembe véve, hogy nem csak a beágyazott rendszerek, hanem az IoT megoldások is milyen, egyre gyorsuló sebességgel nyernek teret a kritikus infrastruktúrákban és az ipari folyamatirányítás terén is, talán hasznos lenne ezekre az egyszer létező és nem reprodukálható hálózati forgalmakra nagyobb figyelmet fordítani.

A mai napon a lengyel központi CERT (CERT Polska) publikálta a december 29-i támadások részletes beszámolóját. Bár a héten már nem terveztem több, soron kívüli posztot, de ez a jelentés annyival részletesebbnek és pontosabbnak tűnik, mint bármelyik korábbi (akár hivatkoztam a korábbi posztokban, akár nem), hogy nem engedhettem meg magamnak, hogy ne olvassam át és ha már elolvastam, ne írjak róla. A konkrét jelentés itt érhető el.

Amit korábban is lehetett már olvasni, legalább 30 nap- és szélerőmű volt érintett a támadásban. Szintén lehetett tudni, hogy legalább egy CHP (Combined Heat and Power) hőerőművet is támadás ért. Viszont arról most először van információ, hogy egy gyártócég automatizálási rendszerei is érintettek voltak.

Szintén volt információ arról, hogy a támadók a megújuló erőművek site-jai és a DSO control center közötti kommunikációt támadták. A wiper malware-ek emlegetése a korábbi cikkekben adott arra vonatkozóan sejtetést, hogy a támadók a kommunikáció megzavarásán túl is szereztek hozzáféréseket a megtámadott rendszerekben, de a CERT Polska elemzése minden korábbinál sokkal részletesebb.

Az elemzés szerint a támadás NEM a megújuló erőművek rendszereit érte, hanem az elosztói rendszerirányító alállomásán (Grid Connection Point, GCP) működő berendezéseket - ez új információ, eddig mindenhol arról lehetett olvasni, hogy az erőművek rendszerei voltak a támadás célpontjai!

Minden megtámadott GCP-ben egy adott gyártó (Fortinet) adott terméke (FortiGate tűzfal) volt az első behatolási pont. A leírás szerint a FortiGate tűzfalak egyszerre szolgáltak tűzfalként és VPN-koncentrátorként, utóbbi szerepkörükben Internet irányból elérhető volt az authentikációt biztosító funkciójuk (multi-faktor authentikációval megerősítve). Eddig a CERT Polska elemzésből származó megállapítások. Azt már én teszem hozzá, hogy ez a konfiguráció teljesen normális és megfelel a (gyártófüggetlen) biztonsági ajánlásoknak. Azonban az is tény, hogy alig több, mint egy hete jelent meg egy hír pont az érintett gyártó tűzfalainak felhős menedzsment megoldásával kapcsolatban, amiben egy teljesen naprakészre frissített FortiGate tűzfalakat is támadhatóvá tevő sérülékenységről írtak (ezzel nem azt mondom, hogy ugyanez ne történhetett volna meg bármelyik másik gyártó tűzfalainak alkalmazása esetén - sajnos tudomásul kell vennünk, hogy az állami hátterű APT-csoportok gyakorlatilag bármelyik gyártó bármilyen eszközében rendelkezhetnek olyan 0-day sérülékenységi információval, amiről rajtuk kívül senki sem tud, márpedig ha valamikor érdemes lehet ilyen sérülékenységeket egy támadáshoz kihasználni, az pont az ilyen, nagyon nagy értékű - kritikus infrastruktúrákhoz tartozó - célpontok elleni támadások).

A kérdés minden külső határvédelmi rendszer sérülékenysége esetén az hogy a) mikor biztosít javítást a sérülékenységhez a gyártó és b) a publikálás után mennyi idővel telepíti a javítást az üzemeltető? (Ma már gyakorlatilag legkésőbb a javítás publikálása után néhány órával aktív támadási kísérletek indulnak a feltételezhetően sérülékeny és publikus hálózatokon elérhető rendszerek ellen, így a javításra rendelkezésre álló időablak egyre kisebb. Nem gondolom, hogy tovább kéne bizonygatnom, hogy ez a kritikus infrastruktúrák esetén mennyivel növeli a kockázatokat.

Ráadásul a támadók a kompromittált rendszerekben adminisztratív jogokat szereztek (ez szintén azt a teóriámat erősíti, hogy reaális esélye van annak, hogy a fenti cikkben linkelt sérülékenységet használhatták ki).

Arról a jelentés nem tesz említést, hogy a támadók mennyi ideig rendelkeztek az így szerzett hozzáférésekkel a megtámadott létesítmények rendszereiben.

A támadók a támadás napján (december 29-én) minden érintett eszközt gyári alapállapotban állították, amivel minden bizonnyal a normál működés helyreállítási idejének növelése volt a céljuk.

A támadók azonban nem álltak meg a kommunikáció szempontjából központi szerepet betöltő tűzfalaknál, hanem az alállomások és az erőművek közötti kommunikációban még fontosabb szekunder(????) berendezéseket is célba vették. Hitachi (korábban Hitachi-ABB, aztán a japán cég teljesen kivásárolta a svájciakat a közös vállalatból) és Mikronika RTU-k, Hitachi védelmek és vezérlések, Mikronika HMI-ok és Moxa soros-Ethernet átalakítók szintén a támadások áldozataivá váltak. Ezekben az esetekben a lengyel kollégák már korántsem voltak annyira precízek, mint a tűzfalak esetén, szinte az összes szekunder berendezés-típusnál megemlíti a jelentés, hogy gyári alapértelmezett jelszavakat felhasználva szereztek hozzáférést a támadók - ez pedig egy eléggé alapvető hiba, amit 2025-ben már nagyon nem lett volna szabad elkövetni (ennek ellenére ne legyenek illúzióink, okkal gyaníthatjuk, hogy majd minden ipari folyamatirányító rendszerben van legalább 1 olyan berendezés, amin nem módosították a gyári jelszót egy adminisztrátori szintű jogosultsággal rendelkező fiókhoz - ezek a jelszavak pedig publikusan elérhetőek a gyártók weboldaláról letölthető kézikönyvekben...).

A CHP elleni támadás a jelentés alapján más volt. Hosszú ideig tartó művelet (bár egyelőre nincs bizonyíték arra, hogy a 2025 márciusa és júliusa közötti gyanús események közvetlenül a decemberi támadást elkövető APT csoporthoz köthetőek, kizárni sem lehet ezt) során szerezhettek bizalmas információkat az erőmű működéséről és ezek között voltak olyanok is, amikkel emelt szintű jogosultsághoz jutottak az erőmű Active Directory címtárában. Ezekkel a jogokkal aztán csoportházirendeken keresztül indították el a wiper malware-t, amit azonban az erőművi rendszerekben működő Endpoint Detection and Response rendszer képes volt észlelni és blokkolni (a blokkolás kérdése érdekes, mert tapasztalataim szerint az OT rendszerekben gyakran nem engedélyezik a biztonsági rendszer aktív beavatkozását, bár láttam már ennek az ellenkezőjére is példát).

Ebben a támadásban is egy FortiGate tűzfal volt az első kompromittált rendszer, majd innen egy Windows jump hoston keresztül fértek hozzá a támadók további rendszerekhez (köztük a tartományvezérlőkhöz).

Támadás a gyártóvállalat ellen

Ennél a szervezetnél a CERT Polska jelentése nem lát kapcsolatot az erőművi és alállomási rendszerek elleni támadással, azonban a támadás jellemzői és időzítése a valószínűbbnél erősebben sugallják, hogy ugyanaz a támadói csoport lehet a felelős ezért az incidensért is.

A támadók ebben az esetben is a FortiGate külső határvédelmi eszközön keresztül jutottak be a célpont hálózatába, ráadásul ez a tűzfal érintett volt korábbi incidensben, az akkori konfigurációját publikálták is! A megszerzett, adminisztrátori szintű hozzáférés után SSL-VPN kapcsolaton keresztül mozogtak tovább a támadók a megtámadott rendszerben. Ebben az esetben is sikerült a támadóknak tartományi rendszergazda jogosultsági szintet szerezniük a megtámadott szervezet rendszereiben és itt is ezt felhasználva, csoportházirendekkel terítették a wiper malware-jüket (LazyWiper, amit egy külön fejezetben elemez a jelentés).

A tartományi rendszergazdai jogosultságok megszerzése sokkal komolyabb jövőbeli fenyegetéseket jelent a most érintett szervezetekre nézve, mint csupán a wiper malware-ek terítése. A jelentés szerint a támadók a megszerzett jogosultságok birtokában számos, OT hálózati fejlesztésekkel, SCADA rendszerekkel és más műszaki részletekkel kapcsolatos dokumentumokat töltöttek le a megtámadott szervezetek M365 fiókjaiból. Ez szerintem nem csak az érintett szervezetek jövőbeli kockázatait emeli meg jelentősen, hanem elég jó képet fest a támadók számára arról is, hogy az ezeket a dokumentumokat létrehozó vagy azokban közreműködő ICS/OT gyártó vagy integrátor cégek nagy valószínűséggel milyen gyakorlatok mentén tervezik más ügyfeleik rendszereit is!

Ami viszont érdekes, hogy az eddigi forrásokkal (amik miatt eddig én is így tettem) ellentétben a CERT Polska jelentésében, az Atribution fejezetben NEM a Sandworm APT csoportot (amivel kapcsolatban kb. közmegegyezés van, hogy a GRU, az orosz katonai hírszerzéshez köthető csoport) jelölik meg, hanem a Dragonfly néven azonosított, feltételezések szerint az orosz FSZB-hez (az orosz polgári hírszerzéshez) köthető APT-csoportot.

Ez a jelentés sok részletet tisztábban mutat, mint eddig bármi és nagyon jól rávilágít több régóta hangoztatott alapigazságra:

1. Minden szoftver sérülékeny, ezért azt kell feltételeznünk a biztonság tervezése során, hogy a támadók meg fognak találni már ismert és nem javított, vagy még nem ismert (0-day) és így nem is javítható sérülékenységeket a rendszereinkben.

2. Mindig (nem tudom eléggé hangsúlyozni, MINDIG) meg kell változtatni a gyári, alapértelmezett jelszavakat. Nyilván ez sem állít meg egy képzett és elhivatott támadót, de minden kicsi előnyre szükség van a védekezés során, a kritikus infrastruktúrák esetén ez fokozottan igaz.

3. A mélységi védelem (defense-in-depth) képes javítani a védelem esélyeit még egy top ligás támadói csoport ellen is. Az, hogy a CHP elleni támadás esetén az EDR rendszer képes volt detektálni és blokkolni a wiper malware-t, arra bizonyíték, hogy bár igaz a kb. másfél évtizede már magyar IT biztonsági konferenciákon is bizonyított feltevés (azt hiszem, talán Buherátortól láttam ilyen előadást, amiben azt mutatta meg, milyen könnyen lehet úgy obfuscálni egy Virustotal-on kezdetben majd 100%-ban detektált malware-t úgy, hogy a végén kb. 40 AV engine-ből alig 1-2 ismerte fel, mit is lát), mégis van kézzelfogható haszna egy (természetesen az OT gyártó/integrátor által támogatott) végpontvédelmi megoldást telepíteni.

Nem meglepő módon a december végi, lengyel DER elleni kibertámadás témája továbbra is uralja a (főként európai) ICS/OT kiberbiztonsági közösség beszélgetéseit.

A tegnapi napon a Dragos (nem túl meglepő módon) kiadott egy rövid elemzést (regisztráció után érhető el) az incidensről. Ebben egyebek mellett azt is megemlítik, hogy a Dragos munkatársai is részt vettek az incidens kivizsgálásában egy (vagy több?) érintett lengyel szervezetnél. Részben ezt a jelentést is taglalja Reuben Santamarta is a lengyel incidensről készült cikk-sorozata legújabb (ötödik) részében és további, főként villamosmérnöki szemmel nézve érdekes részletekről is ír (még akkor is, ha Reuben gondolatainak egy része inkább csak ötletelés).

Most azonban én nem ezekről gondoltam soron kívül néhány gondolatot megosztani, hanem arról a tényről, hogy az állami hátterű kibertámadások egy új mérföldkövét látjuk ebben az incidensben. Ahogy a világon minden felé, de különösen Európában (és bár kisebb mértékben, de az USA-ban is, Kínára most nem térnék ki, az egy nagyon más környezet) egyre nagyobb a megújuló (nap- és szélerőművi) villamosenergia-termelés, ráadásul ezek (ahogy Lengyelországban is) nagyon elszórtan és elosztottan lettek telepítve, felmerül a kérdés, hogyan lehet ezeket az erőművi rendszereket (és ami legalább ilyen fontos, a távközlési kapcsolataikat a távoli vezénylő központtal!) megvédeni egy bármilyen szintű kibertámadástól.

Az első probléma rögtön az, hogy (az én személyes tapasztalataim szerint) a legtöbb, kis és közepes termelési kapacitású megújuló erőmű irányítástechnikai hálózata és távközlése kapcsán a legfontosabb (gyakran egyetlen) szempont a költséghatékonyság. Láttam én (sok éve már) olyan magyar naperőművet, ahol a helyi irányítástechnikai rendszereket az Internettől egyetlen, SOHO-kategóriájú, all-in-one hálózati eszköz választotta le. Meg akarjuk tippelni, hogy egy ilyen kialakítás során egy, a Sandworm-höz hasonló képességekkel rendelkező támadót meddig lehet feltartani?

Nem tehetjük meg azonban azt sem, hogy a biztonságra hivatkozva nem veszünk tudomást a megújuló erőművek pénzügyi/megtérülési szempontjairól. Ez pedig visszavezet minket oda, amiről a SeConSys kézikönyv 87. oldalán található koncepció-alaphoz. (Bár ennek a koncepciónak az alapötlete részben az enyém, én nem erre vagyok büszke, hanem arra, hogy olyan, sok évtizedes villamosmérnöki tapasztalattal rendelkező kollégák tartották elég jónak ahhoz, hogy segítsenek továbbgondolni a tanácsaikkal, mint Görgey Péter, Kapás Mihály, Kovács Gábor, Orlay Imre, Oroszki Lajos és Tari Gábor, akik közül többen kollégáim és vezetőim voltak korábban.) Mert ebből az incidensből is tisztán látszik, hogy a kibertámadások gyorsan és hatékonyan változtatják a célpontjaikat a legkisebb ellenállás elve mentén választva, vagyis egyre valószínűbb, hogy a jövőben a DER erőművek nem kevesebb, hanem több (akár jóval több) és súlyosabb kiberbiztonsági fenyegetéssel kell, hogy szembenézzenek. Ezt pedig a legjobban egy kombinált, a villamosenergia-rendszer egészét értékelő kockázatelemzésből levezetett és ráfordítás-haszon optimalizált kibervédelmi programmal lehet csak a kellő hatékonysággal megvédeni. Talán a SeConSys Energetikai Kiberbiztonsági Egyesület még pont időben alakult meg ahhoz, hogy az ezt lehetővé tevő keretrendszer kidolgozását célzó munka minél előbb el tudjon kezdődni.

A múlt heti posztban is tárgyalt, lengyel megújuló villamosenergia-erőművek elleni kibertámadásról sorban jelennek meg az újabb elemzések, a mai poszt témáját a múlt héten már hivatkozott Ruben Santamarta, független biztonsági kutató újabb cikkei adják.

A már hivatkozott első elemzés (ami január 16-án jelent meg) után 19-én Ruben publikálta a második részt, amiben az alábbi témákat vizsgálta:

- Bemutatkozás (a szkepticizmus és kritikai gondolkodás haszna a kiber-fizikai incidensek vizsgálata során)
- A támadás jellemzőinek bemutatása
- A támadás kézzelfogható eredményei
- Kapcsolat az ibériai blackout (ami, nem lehet eléggé hangsúlyozni, közel kilenc hónappal az eset után sem nevezhető kibertámadás okozta incidensnek, mert semmilyen bizonyíték nincs arra, hogy lett volna kiberbiztonsági komponense a kiváltó okoknak) és a lengyel kibertámadás között
- Hogyan hajtották végre a támadást? (Spoiler: a cikk írása pillanatában még nagyon voltak ezzel kapcsolatban elérhető hiteles információk.)
- Mi történhetett volna egy sikeres támadást követően?
- Következtetések

A cikksorozat harmadik részében pedig a szerző azt járja körbe, hogy a lengyel villamosenergia-rendszer elleni támadás hogyan és miben mutat erős hasonlóságokat az Industroyer ICS-malware-rel.

Úgy érzem, ahogy egyre több információt lehet majd megismerni az incidensről, úgy fogok még én is újabb részleteket hivatkozni itt, a blogon.

Szerk: ezt a posztot eredetileg néhány napja kezdtem írni, de azóta (ahogy a fenti bekezdésben írva vártam) új részletek jelentek meg. Az ESET vezető kutatója Robert Lipovsky csapatával vizsgálta a lengyel rendszerek elleni támadásban használt malware-t (amit DynoWiper-nek neveztek el) és arra a következtetésre jutottak, hogy az nagyfokú hasonlóságot mutat a 2015-ben a Nyugat-ukrajnai áramszolgáltatók ellen végrehajtott BlackEnergy-támadásokkal, ahol a Sandworm néven hivatkozott, orosz katonai titkoszolgálathoz tartozóként emlegetett APT-csoport volt a támadó (ahogy egyébként 2016-ban, az Ukrenergo, az ukrán TSO Kijev-északi alállomása elleni támadásnál is, amihez kapcsolódóan szintén az ESET elemezte elsőként az Industroyer néven ismert ICS-malware-t).

Részleteket az új fejleményről Kim Zetter itt, az ESET WeLiveSecurity blogja pedig itt ír.

Sajnos egyre inkább beigazolódni látszik az a feltevésem, hogy ahogy az oroszok a harctéren nem képesek többé jelentős sikereket elérni, úgy fognak fokozódni az európai kritikus infrastruktúrák elleni kibertámadások, úgy számosságban, mint súlyosságban. Ez szerintem egy jó darabig még akkor is így lesz, ha egyszer lesz fegyverszünet (én békére még jó ideig nem számítok) Ukrajnában.

Szerk2: Alig néhány órája megjelent Ruben Santamarta negyedik cikke is a témában. Ebben pedig ismét érdekes részletekről ír a szerző:

- A lengyel villamosenergia-rendszer egyensúlya elleni támadás (ez az a fejezet, amihez én annyira nem értek, de majd a villamosmérnök kollégák elmondják, nekik mi is olvasható ki ebből a fejezetből illetve a Ruben által hivatkozott forrásokból);
- A még mindig hiányzó részletek (ebben a fejezetben már Ruben is hivatkozza az ESET és Robert Lipovsky elemzését, illetve Kim Zetter általam is belinkelt cikkét).
- Következtetések (ahol szóba kerül egy 2021-es, emberi hibából eredő jelentős, termelési oldalon kialakult üzemzavar, aminek következtében 3,3 GW szénerőművi termelés esett ki a lengyel rendszerből, amit a PSE így is képes volt a biztonsági határokon belül tartani - ezúton is hatalmas elismerés a lengyel kollégáknak. Mindig is tudtam, hogy jók, de ez azért korántsem mindennapi erőfeszítés lehetett a részükről. Ez még egy hozzám hasonló, a kezdők között is amatőr laikus is látja/érzi.)

(2026.02.23. szerkesztés: A poszt címét - tekintettel a témában a blogon az elmúlt hetekben megjelent posztok nagy számára - módosítottam.)

Bejelentés dátuma: 2026.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- TeleControl Server Basic V3.1.2.4-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Execution with Unnecessary Privileges (CVE-2025-40942)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0) minden verziója;
- SIMATIC ET 200MP IM 155-5 PN HF (6ES7155-5AA00-0AC0) minden verziója;
- SIMATIC ET 200SP IM 155-6 MF HF (6ES7155-6MU00-0CN0) minden verziója;
- SIMATIC ET 200SP IM 155-6 PN HA (incl. SIPLUS variants) minden verziója;
- SIMATIC ET 200SP IM 155-6 PN R1 (6ES7155-6AU00-0HM0) minden verziója;
- SIMATIC ET 200SP IM 155-6 PN/2 HF (6ES7155-6AU01-0CN0) minden verziója;
- SIMATIC ET 200SP IM 155-6 PN/3 HF (6ES7155-6AU30-0CN0) minden verziója;
- SIMATIC PN/MF Coupler (6ES7158-3MU10-0XA0) minden verziója;
- SIMATIC PN/PN Coupler (6ES7158-3AD10-0XA0) minden verziója;
- SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-2AC0) minden verziója;
- SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-7AC0) minden verziója;
- SIPLUS ET 200MP IM 155-5 PN HF T1 RAIL (6AG2155-5AA00-1AC0) minden verziója;
- SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-2CN0) minden verziója;
- SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-7CN0) minden verziója;
- SIPLUS ET 200SP IM 155-6 PN HF T1 RAIL (6AG2155-6AU01-1CN0) minden verziója;
- SIPLUS ET 200SP IM 155-6 PN HF TX RAIL (6AG2155-6AU01-4CN0) minden verziója;
- SIPLUS NET PN/PN Coupler (6AG2158-3AD10-4XA0) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2025-40944)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden verziója;;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2025-40891)/közepes;
- Cross-site Scripting (CVE-2025-40892)/súlyos;
- Cross-site Scripting (CVE-2025-40893)/közepes;
- Path Traversal (CVE-2025-40898)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Industrial Edge Cloud Device (IECD) minden verziója;
- Industrial Edge Own Device (IEOD) minden verziója;
- Industrial Edge Virtual Device (IEVD) minden verziója;
- SCALANCE LPE9413 (6GK5998-3GS01-2AC2) minden verziója;
- SCALANCE LPE9433 (6GK5998-3GS11-2AC2) minden verziója;
- SIMATIC Automation Workstation 19" (6AV7256-6CA01-0FP0) minden verziója;
- SIMATIC Automation Workstation 24" (6AV7256-6CA00-0FP0) minden verziója;
- SIMATIC HMI MTP1000 Unified Comfort Panel (6AV2128-3KB06-0AX1) minden verziója;
- SIMATIC HMI MTP1000 Unified Comfort Panel hygienic (6AV2128-3KB40-0AX0) minden verziója;
- SIMATIC HMI MTP1000 Unified Comfort Panel hygienic neutral design (6AV2128-3KB70-0AX0) minden verziója;
- SIMATIC HMI MTP1000, Unified Comfort Panel neutral (6AV2128-3KB36-0AX1) minden verziója;
- SIMATIC HMI MTP1200 Comfort Pro for stand (expandable, flange at the bottom) (6AV2128-3MB27-1BX0) minden verziója;
- SIMATIC HMI MTP1200 Comfort Pro for support arm (expandable, round tube) and extension unit (6AV2128-3MB27-0BX0) minden verziója;
- SIMATIC HMI MTP1200 Comfort Pro for support arm (not extendable, flange on top) (6AV2128-3MB27-0AX0) minden verziója;
- SIMATIC HMI MTP1200 Comfort Pro neutral design for stand (expandable, flange at the bottom) (6AV2128-3MB57-1BX0) minden verziója;
- SIMATIC HMI MTP1200 Comfort Pro neutral design for support arm (expandable, round tube) and extensio (6AV2128-3MB57-0BX0) minden verziója;
- SIMATIC HMI MTP1200 Comfort Pro neutral design for support arm (not extendable, flange on top) (6AV2128-3MB57-0AX0) minden verziója;
- SIMATIC HMI MTP1200 Unified Comfort Panel (6AV2128-3MB06-0AX1) minden verziója;
- SIMATIC HMI MTP1200 Unified Comfort Panel hygienic (6AV2128-3MB40-0AX0) minden verziója;
- SIMATIC HMI MTP1200 Unified Comfort Panel hygienic neutral design (6AV2128-3MB70-0AX0) minden verziója;
- SIMATIC HMI MTP1200 Unified Comfort Panel neutral design (6AV2128-3MB36-0AX1) minden verziója;
- SIMATIC HMI MTP1500 Comfort Pro for stand (expandable, flange at the bottom) (6AV2128-3QB27-1BX0) minden verziója;
- SIMATIC HMI MTP1500 Comfort Pro for support arm (expandable, round tube) and extension unit (6AV2128-3QB27-0BX0) minden verziója;
- SIMATIC HMI MTP1500 Comfort Pro for support arm (not extendable, flange on top) (6AV2128-3QB27-0AX0) minden verziója;
- SIMATIC HMI MTP1500 Comfort Pro neutral design for stand (expandable, flange at the bottom) (6AV2128-3QB57-1BX0) minden verziója;
- SIMATIC HMI MTP1500 Comfort Pro neutral design for support arm (expandable, round tube) and extensio (6AV2128-3QB57-0BX0) minden verziója;
- SIMATIC HMI MTP1500 Comfort Pro neutral design for support arm (not extendable, flange on top) (6AV2128-3QB57-0AX0) minden verziója;
- SIMATIC HMI MTP1500 Unified Comfort Panel (6AV2128-3QB06-0AX1) minden verziója;
- SIMATIC HMI MTP1500 Unified Comfort Panel hygienic (6AV2128-3QB40-0AX0) minden verziója;
- SIMATIC HMI MTP1500 Unified Comfort Panel hygienic neutral design (6AV2128-3QB70-0AX0) minden verziója;
- SIMATIC HMI MTP1500 Unified Comfort Panel neutral design (6AV2128-3QB36-0AX1) minden verziója;
- SIMATIC HMI MTP1900 Comfort Pro for stand (expandable, flange at the bottom) (6AV2128-3UB27-1BX0) minden verziója;
- SIMATIC HMI MTP1900 Comfort Pro for support arm (expandable, round tube) and extension unit (6AV2128-3UB27-0BX0) minden verziója;
- SIMATIC HMI MTP1900 Comfort Pro for support arm (not extendable, flange on top) (6AV2128-3UB27-0AX0) minden verziója;
- SIMATIC HMI MTP1900 Comfort Pro neutral design for stand (expandable, flange at the bottom) (6AV2128-3UB57-1BX0) minden verziója;
- SIMATIC HMI MTP1900 Comfort Pro neutral design for support arm (expandable, round tube) and extensio (6AV2128-3UB57-0BX0) minden verziója;
- SIMATIC HMI MTP1900 Comfort Pro neutral design for support arm (not extendable, flange on top) (6AV2128-3UB57-0AX0) minden verziója;
- SIMATIC HMI MTP1900 Unified Comfort Panel (6AV2128-3UB06-0AX1) minden verziója;
- SIMATIC HMI MTP1900 Unified Comfort Panel hygienic (6AV2128-3UB40-0AX0) minden verziója;
- SIMATIC HMI MTP1900 Unified Comfort Panel hygienic neutral design (6AV2128-3UB70-0AX0) minden verziója;
- SIMATIC HMI MTP1900 Unified Comfort Panel neutral design (6AV2128-3UB36-0AX1) minden verziója;
- SIMATIC HMI MTP2200 Comfort Pro for stand (expandable, flange at the bottom) (6AV2128-3XB27-1BX0) minden verziója;
- SIMATIC HMI MTP2200 Comfort Pro for support arm (expandable, round tube) and extension unit (6AV2128-3XB27-0BX0) minden verziója;
- SIMATIC HMI MTP2200 Comfort Pro for support arm (not extendable, flange on top) (6AV2128-3XB27-0AX0) minden verziója;
- SIMATIC HMI MTP2200 Comfort Pro neutral design for stand (expandable, flange at the bottom) (6AV2128-3XB57-1BX0) minden verziója;
- SIMATIC HMI MTP2200 Comfort Pro neutral design for support arm (expandable, round tube) and extensio (6AV2128-3XB57-0BX0) minden verziója;
- SIMATIC HMI MTP2200 Comfort Pro neutral design for support arm (not extendable, flange on top) (6AV2128-3XB57-0AX0) minden verziója;
- SIMATIC HMI MTP2200 Unified Comfort Hygienic (6AV2128-3XB40-0AX0) minden verziója;
- SIMATIC HMI MTP2200 Unified Comfort Hygienic neutral design (6AV2128-3XB70-0AX0) minden verziója;
- SIMATIC HMI MTP2200 Unified Comfort Panel (6AV2128-3XB06-0AX1) minden verziója;
- SIMATIC HMI MTP2200 Unified Comfort Panel neutral design (6AV2128-3XB36-0AX1) minden verziója;
- SIMATIC HMI MTP700 Unified Comfort Panel (6AV2128-3GB06-0AX1) minden verziója;
- SIMATIC HMI MTP700 Unified Comfort Panel hygienic neutral design (6AV2128-3GB40-0AX0) minden verziója;
- SIMATIC HMI MTP700 Unified Comfort Panel hygienic neutral design (6AV2128-3GB70-0AX0) minden verziója;
- SIMATIC HMI MTP700, Unified Comfort Panel neutral design (6AV2128-3GB36-0AX1) minden verziója;
- SIMATIC IOT2050 (6ES7647-0BA00-1YA2) minden verziója;
- SIMATIC IPC BX-39A Industrial Edge Device minden verziója;
- SIMATIC IPC BX-59A Industrial Edge Device minden verziója;
- SIMATIC IPC127E Industrial Edge Device minden verziója;
- SIMATIC IPC227E Industrial Edge Device minden verziója;
- SIMATIC IPC227G Industrial Edge Device minden verziója;
- SIMATIC IPC427E Industrial Edge Device minden verziója;
- SIMATIC IPC847E Industrial Edge Device minden verziója;
- SIPLUS HMI MTP1000 Unified Comfort (6AG1128-3KB06-4AX1) minden verziója;
- SIPLUS HMI MTP1200 Unified Comfort (6AG1128-3MB06-4AX1) minden verziója;
- SIPLUS HMI MTP700 Unified Comfort (6AG1128-3GB06-4AX1) minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authorization Bypass Through User-Controlled Key (CVE-2025-40805)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- Industrial Edge Device Kit - arm64 V1.10 verziója;
- Industrial Edge Device Kit - arm64 V1.11 verziója;
- Industrial Edge Device Kit - arm64 V1.12 verziója;
- Industrial Edge Device Kit - arm64 V1.13 verziója;
- Industrial Edge Device Kit - arm64 V1.14 verziója;
- Industrial Edge Device Kit - arm64 V1.15 verziója;
- Industrial Edge Device Kit - arm64 V1.16 verziója;
- Industrial Edge Device Kit - arm64 V1.17 verziója;
- Industrial Edge Device Kit - arm64 V1.18 verziója;
- Industrial Edge Device Kit - arm64 V1.19 verziója;
- Industrial Edge Device Kit - arm64 V1.20 verziója;
- Industrial Edge Device Kit - arm64 V1.21 verziója;
- Industrial Edge Device Kit - arm64 V1.22 verziója;
- Industrial Edge Device Kit - arm64 V1.23 verziója;
- Industrial Edge Device Kit - arm64 V1.24 verziója;
- Industrial Edge Device Kit - arm64 V1.25 verziója;
- Industrial Edge Device Kit - arm64 V1.5 verziója;
- Industrial Edge Device Kit - arm64 V1.6 verziója;
- Industrial Edge Device Kit - arm64 V1.7 verziója;
- Industrial Edge Device Kit - arm64 V1.8 verziója;
- Industrial Edge Device Kit - arm64 V1.9 verziója;
- Industrial Edge Device Kit - x86-64 V1.10 verziója;
- Industrial Edge Device Kit - x86-64 V1.11 verziója;
- Industrial Edge Device Kit - x86-64 V1.12 verziója;
- Industrial Edge Device Kit - x86-64 V1.13 verziója;
- Industrial Edge Device Kit - x86-64 V1.14 verziója;
- Industrial Edge Device Kit - x86-64 V1.15 verziója;
- Industrial Edge Device Kit - x86-64 V1.16 verziója;
- Industrial Edge Device Kit - x86-64 V1.17 verziója;
- Industrial Edge Device Kit - x86-64 V1.18 verziója;
- Industrial Edge Device Kit - x86-64 V1.19 verziója;
- Industrial Edge Device Kit - x86-64 V1.20 verziója;
- Industrial Edge Device Kit - x86-64 V1.21 verziója;
- Industrial Edge Device Kit - x86-64 V1.22 verziója;
- Industrial Edge Device Kit - x86-64 V1.23 verziója;
- Industrial Edge Device Kit - x86-64 V1.24 verziója;
- Industrial Edge Device Kit - x86-64 V1.25 verziója;
- Industrial Edge Device Kit - x86-64 V1.5 verziója;
- Industrial Edge Device Kit - x86-64 V1.6 verziója;
- Industrial Edge Device Kit - x86-64 V1.7 verziója;
- Industrial Edge Device Kit - x86-64 V1.8 verziója;
- Industrial Edge Device Kit - x86-64 V1.9 verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authorization Bypass Through User-Controlled Key (CVE-2025-40805)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2026.01.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Build Rapsody software FR V2.8.1-es és korábbi verziói;
- EcoStruxure Power Build Rapsody software INT V2.8.6-os és korábbi verziói;
- EcoStruxure Power Build Rapsody software ES V2.8.5-ös és korábbi verziói;
- EcoStruxure Power Build Rapsody software BEL (NL) V2.8.3-as és korábbi verziói;
- EcoStruxure Power Build Rapsody software BEL (FR) V2.8.8-as és korábbi verziói;
- EcoStruxure Power Build Rapsody software ESP V2.8.5.0200 és korábbi verziói;
- EcoStruxure Power Build Rapsody software PT V2.8.7.0100 és korábbi verziói;
- EcoStruxure Power Build Rapsody software NL V2.8.2.0000 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Double Free (CVE-2025-13844)/közepes;
- Use After Free (CVE-2025-13845)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Schneider Electric, ICS-CERT

Bejelentés dátuma: 2026.01.13.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Process Expert 2025-ösnél korábbi verziója;
- EcoStruxure™ Process Expert for AVEVA System Platform minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2025-13905)/súlyos;
Javítás: Részben elérhető.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2026.01.14.
Gyártó: Festo
Érintett rendszer(ek):
- Bus module CPX-E-EP minden verziója;
- Bus module CPX-E-PN minden verziója;
- Bus node CPX-FB32 minden verziója;
- Bus node CPX-FB33 minden verziója;
- Bus node CPX-FB36 minden verziója;
- Bus node CPX-FB37 minden verziója;
- Bus node CPX-FB39 minden verziója;
- Bus node CPX-FB40 minden verziója;
- Bus node CPX-FB43 minden verziója;
- Bus node CPX-M-FB34 minden verziója;
- Bus node CPX-M-FB35 minden verziója;
- Bus node CPX-M-FB44 minden verziója;
- Bus node CPX-M-FB45 minden verziója;
- Bus node CTEU-EP minden verziója;
- Bus node CTEU-PN minden verziója;
- Bus node CTEU-PN-EX1C minden verziója;
- Camera system CHB-C-N minden verziója;
- Compact Vision System SBO*-C-* minden verziója;
- Compact Vision System SBO*-M-* minden verziója;
- Compact Vision System SBO*-Q-* minden verziója;
- Control block CPX-CEC minden verziója;
- Control block CPX-CEC-C1 minden verziója;
- Control block CPX-CEC-C1-V3 minden verziója;
- Control block CPX-CEC-M1 minden verziója;
- Control block CPX-CEC-M1-V3 minden verziója;
- Control block CPX-CEC-S1-V3 minden verziója;
- Control block CPX-CMXX minden verziója;
- Control block CPX-FEC-1-IE minden verziója;
- Controller CECC-D minden verziója;
- Controller CECC-D-BA minden verziója;
- Controller CECC-LK minden verziója;
- Controller CECC-S minden verziója;
- Controller CECC-X-* minden verziója;
- Controller CECX-X-C1 minden verziója;
- Controller CECX-X-M1 minden verziója;
- Controller CMXH-ST2-C5-7-DIOP minden verziója;
- Controller CPX-E-CEC-* minden verziója;
- Controller SBRD-Q minden verziója;
- EtherNet/IP interface CPX-AP-I-EP-M12 minden verziója;
- EtherNet/IP interface CPX-AP-I-PN-M12 minden verziója;
- Gateway CPX-IOT minden verziója;
- Integrated drive EMCA-EC-67-* minden verziója;
- Motor controller CMMO-ST-C5-1-DION minden verziója;
- Motor controller CMMO-ST-C5-1-DIOP minden verziója;
- Motor controller CMMO-ST-C5-1-LKP minden verziója;
- Motor controller CMMP-AS-* minden verziója;
- Motor controller CMMT-AS-* minden verziója;
- Operator unit CDPX-X-A-S-10 minden verziója;
- Operator unit CDPX-X-A-W-13 minden verziója;
- Operator unit CDPX-X-A-W-4 minden verziója;
- Operator unit CDPX-X-A-W-7 minden verziója;
- Planar surface gantry EXCM-* minden verziója;
- Servo drive CMMT-ST-C8-1C-EP-S0 minden verziója;
- Servo drive CMMT-ST-C8-1C-PN-S0 minden verziója;
- VTEM-S1-* minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Insufficient Technical Documentation (CVE-2022-3270)/kritikus;
Javítás: A hiányosság pótlása a következő verzióban várható.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-02

Bejelentés dátuma: 2025.01.15.
Gyártó: AVEVA
Érintett rendszer(ek):
- AVEVA Process Optimization 2024.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
Code Injection (CVE-2025-61937)/kritikus;
Code Injection (CVE-2025-64691)/súlyos;
SQL Injection (CVE-2025-61943)/súlyos;
Uncontrolled Search Path Element (CVE-2025-65118)/súlyos;
Missing Authorization (CVE-2025-64729)/súlyos;
Use of Potentially Dangerous Function (CVE-2025-65117)/súlyos;
Cleartext Transmission of Sensitive Information (CVE-2025-64769)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.