Siemens, Schneider Electric, CISA и Rockwell Automation публикуваха съвети за сигурност за ноември 2024 Patch Tuesday.
Siemens публикува десетина нови препоръки. Въз основа на оценката за сериозност най-важната уязвимост е критичен проблем с десериализация в TeleControl Server Basic, който може да позволи на неаутентифициран нападател да изпълни произволен код на устройството.
В Sinec INS Siemens е поправила около 60 уязвимости, включително критични проблеми. Много от тях засягат компоненти на трети страни, използвани от продукта. В Sinec NMS и Scalance M-800 компанията отстрани над дузина пропуски във всеки продукт, като много от тях засягат компоненти на трети страни.
Проблеми с висока степен на опасност – по един във всеки продукт – бяха отстранени от Siemens в Engineering Platforms (изпълнение на код), OZW Web Servers (съхранен XSS), Spectrum Power 7 (локално повишаване на привилегиите), Siport (повишаване на привилегиите) и Simatic CP 1543-1 (неоторизиран достъп до файловата система).
Siemens също така информира клиентите, че Solid Edge е засегнат от няколко недостатъка, които могат да бъдат използвани за изпълнение на код или DoS атаки, като накарат целевия потребител да отвори специално създаден файл.
Проблеми със средна степен на опасност са отстранени от компанията в Mendix Runtime (заобикаляне на мерките за блокиране на акаунти) и Ruggedcom Crossbow Station Access Controller (изпълнение на код, DoS).
Schneider Electric е публикувала четири нови препоръки. В едно от тях се описва критична уязвимост на EcoStruxure IT Gateway, която може да позволи на нападател да поеме контрол над системата и да получи чувствителна информация.
В електромерите от серията PowerLogic PM5300 индустриалният гигант е поправил проблем с висока степен на опасност DoS.
В контролерите Modicon M340, Momentum и MC80 компанията разреши пет критични и високосериозни проблема, които могат да бъдат използвани при атаки от типа „човек в средата“, за да се предизвика DoS състояние или да се изпълни произволен код.
CISA публикува три нови препоръки. Едната обхваща три критични уязвимости в платформата за управление на устройства Subnet PowerSystem Center OT.
Втората консултация описва две уязвимости в радиостанции Hitachi Energy TRO600, които могат да бъдат използвани за изпълнение на команди с привилегии на root и за получаване на ценна конфигурационна информация.
Третата консултация обхваща уязвимост с висока степен на опасност за отдалечено изпълнение на код във FactoryTalk View ME на Rockwell Automation.
Rockwell Automation публикува своя собствена консултация Patch Tuesday за този недостатък, заедно с втора консултация, описваща един критичен и два проблема с висока степен на опасност във FactoryTalk Updater.
Уязвимостите на FactoryTalk Updater включват проблем със заобикаляне на удостоверяването, който позволява на нападателя да се представи за потребител, грешка с отдалечено изпълнение на код, която изисква високи разрешения, и локален недостатък с повишаване на привилегиите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.