S.E.Book
Переслано от SecAtor
Подкатили ежемесячные обновления ICS от Rockwell Automation, Siemens, Schneider Electric и Phoenix Contact.
Rockwell Automation опубликовала восемь новых рекомендаций, все из которых касаются уязвимостей высокого уровня серьёзности, обнаруженных в продуктах компании.
Компания исправила проблему раскрытия конфиденциальных данных в FactoryTalk Analytics LogixAI, а также DoS-атак и выполнения кода в контроллерах ControlLogix.
Также устранена RCE-уязвимости в устройствах Stratix (Cisco) и в FactoryTalk Optix, проблема повреждения памяти в 1783-NATR, SSRF в Automation ThinManager, а также раскрытия данных в FactoryTalk Activation Manager.
Siemens выкатила семь новых рекомендаций.
Одна из самых серьёзных уязвимостей, получившая оценку CVSS 9,3, связана с Simatic Virtualization as a Service и позволяет злоумышленнику получить доступ к конфиденциальным данным или изменить их.
Еще одна уязвимость с критическим уровнем серьезности затрагивает компонент управления пользователями (UMC) Siemens и может быть использована для неавторизованного RCE или DoS-атак.
Siemens также устранила проблемы высокого уровня серьёзности в Simotion и Industrial Edge Management.
Для Sinamics, Apogee PXC, Talon TC, Sinec OS были опубликованы рекомендации по устранению проблем среднего и низкого уровней серьёзности.
Schneider Electric выдала всего два новых бюллетеня.
Один из них касается двух проблем средней степени серьёзности, связанных с внедрением команд ОС в устройства Saitel DR и Saitel DP RTU. Второй бюллетень информирует об XSS-уязвимости в Altivar.
Phoenix Contact анонсировала два новых предупреждения: одно по двум уязвимостям в процессоре Jq JSON, используемом FL Mguard, и одно по ошибке, появившейся при использовании CodeMeter Runtime от Wibu.
У Honeywell вышло несколько рекомендаций по решениям для управления зданиями, включая продукты Maxpro и Pro-Watch NVR и VMS.
Разработчики ABB публиковали свой бюллетень немного ранее, предупреждая об уязвимостях, влияющих на систему управления зданиями Aspect. О них сообщил исследователь Джоко Крстич, который в январе заявлял об обнаружении почти 1000 проблем в продуктах ABB.
Немецкий CERT@VDE на этой неделе также отметил семь новых рекомендаций, в том числе по критической уязвимости контроллера Wago, которую можно эксплуатировать без аутентификации для DoS-атак и ослабления учетных данных, в результате чего к устройству будут применяться учетные данные по умолчанию.
Информационные бюллетени CERT@VDE также охватывают две другие уязвимости продуктов Wago, две проблемы с контроллерами заряда Bender и недавно обнаруженные недостатки Phoenix Contact.
Rockwell Automation опубликовала восемь новых рекомендаций, все из которых касаются уязвимостей высокого уровня серьёзности, обнаруженных в продуктах компании.
Компания исправила проблему раскрытия конфиденциальных данных в FactoryTalk Analytics LogixAI, а также DoS-атак и выполнения кода в контроллерах ControlLogix.
Также устранена RCE-уязвимости в устройствах Stratix (Cisco) и в FactoryTalk Optix, проблема повреждения памяти в 1783-NATR, SSRF в Automation ThinManager, а также раскрытия данных в FactoryTalk Activation Manager.
Siemens выкатила семь новых рекомендаций.
Одна из самых серьёзных уязвимостей, получившая оценку CVSS 9,3, связана с Simatic Virtualization as a Service и позволяет злоумышленнику получить доступ к конфиденциальным данным или изменить их.
Еще одна уязвимость с критическим уровнем серьезности затрагивает компонент управления пользователями (UMC) Siemens и может быть использована для неавторизованного RCE или DoS-атак.
Siemens также устранила проблемы высокого уровня серьёзности в Simotion и Industrial Edge Management.
Для Sinamics, Apogee PXC, Talon TC, Sinec OS были опубликованы рекомендации по устранению проблем среднего и низкого уровней серьёзности.
Schneider Electric выдала всего два новых бюллетеня.
Один из них касается двух проблем средней степени серьёзности, связанных с внедрением команд ОС в устройства Saitel DR и Saitel DP RTU. Второй бюллетень информирует об XSS-уязвимости в Altivar.
Phoenix Contact анонсировала два новых предупреждения: одно по двум уязвимостям в процессоре Jq JSON, используемом FL Mguard, и одно по ошибке, появившейся при использовании CodeMeter Runtime от Wibu.
У Honeywell вышло несколько рекомендаций по решениям для управления зданиями, включая продукты Maxpro и Pro-Watch NVR и VMS.
Разработчики ABB публиковали свой бюллетень немного ранее, предупреждая об уязвимостях, влияющих на систему управления зданиями Aspect. О них сообщил исследователь Джоко Крстич, который в январе заявлял об обнаружении почти 1000 проблем в продуктах ABB.
Немецкий CERT@VDE на этой неделе также отметил семь новых рекомендаций, в том числе по критической уязвимости контроллера Wago, которую можно эксплуатировать без аутентификации для DoS-атак и ослабления учетных данных, в результате чего к устройству будут применяться учетные данные по умолчанию.
Информационные бюллетени CERT@VDE также охватывают две другие уязвимости продуктов Wago, две проблемы с контроллерами заряда Bender и недавно обнаруженные недостатки Phoenix Contact.
Siemens
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
6 2.5K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram