Подкатили ежемесячные обновления ICS от Rockwell Automation, Siemens, Schneider Electric и Phoenix Contact.

Rockwell Automation опубликовала восемь новых рекомендаций, все из которых касаются уязвимостей высокого уровня серьёзности, обнаруженных в продуктах компании.

Компания исправила проблему раскрытия конфиденциальных данных в FactoryTalk Analytics LogixAI, а также DoS-атак и выполнения кода в контроллерах ControlLogix.

Также устранена RCE-уязвимости в устройствах Stratix (Cisco) и в FactoryTalk Optix, проблема повреждения памяти в 1783-NATR, SSRF в Automation ThinManager, а также раскрытия данных в FactoryTalk Activation Manager.

Siemens выкатила семь новых рекомендаций.

Одна из самых серьёзных уязвимостей, получившая оценку CVSS 9,3, связана с Simatic Virtualization as a Service и позволяет злоумышленнику получить доступ к конфиденциальным данным или изменить их.

Еще одна уязвимость с критическим уровнем серьезности затрагивает компонент управления пользователями (UMC) Siemens и может быть использована для неавторизованного RCE или DoS-атак.

Siemens также устранила проблемы высокого уровня серьёзности в Simotion и Industrial Edge Management.

Для Sinamics, Apogee PXC, Talon TC, Sinec OS были опубликованы рекомендации по устранению проблем среднего и низкого уровней серьёзности.

Schneider Electric выдала всего два новых бюллетеня.

Один из них касается двух проблем средней степени серьёзности, связанных с внедрением команд ОС в устройства Saitel DR и Saitel DP RTU. Второй бюллетень информирует об XSS-уязвимости в Altivar.

Phoenix Contact анонсировала два новых предупреждения: одно по двум уязвимостям в процессоре Jq JSON, используемом FL Mguard, и одно по ошибке, появившейся при использовании CodeMeter Runtime от Wibu.

У Honeywell вышло несколько рекомендаций по решениям для управления зданиями, включая продукты Maxpro и Pro-Watch NVR и VMS.

Разработчики ABB публиковали свой бюллетень немного ранее, предупреждая об уязвимостях, влияющих на систему управления зданиями Aspect. О них сообщил исследователь Джоко Крстич, который в январе заявлял об обнаружении почти 1000 проблем в продуктах ABB.

Немецкий CERT@VDE на этой неделе также отметил семь новых рекомендаций, в том числе по критической уязвимости контроллера Wago, которую можно эксплуатировать без аутентификации для DoS-атак и ослабления учетных данных, в результате чего к устройству будут применяться учетные данные по умолчанию.

Информационные бюллетени CERT@VDE также охватывают две другие уязвимости продуктов Wago, две проблемы с контроллерами заряда Bender и недавно обнаруженные недостатки Phoenix Contact.