Търсене
Close this search box.

Siemens, Schneider Electric, CISA и Rockwell Automation публикуваха съвети за сигурност за ноември 2024 Patch Tuesday.

Siemens публикува десетина нови препоръки. Въз основа на оценката за сериозност най-важната уязвимост е критичен проблем с десериализация в TeleControl Server Basic, който може да позволи на неаутентифициран нападател да изпълни произволен код на устройството.

В Sinec INS Siemens е поправила около 60 уязвимости, включително критични проблеми. Много от тях засягат компоненти на трети страни, използвани от продукта. В Sinec NMS и Scalance M-800 компанията отстрани над дузина пропуски във всеки продукт, като много от тях засягат компоненти на трети страни.

Проблеми с висока степен на опасност – по един във всеки продукт – бяха отстранени от Siemens в Engineering Platforms (изпълнение на код), OZW Web Servers (съхранен XSS), Spectrum Power 7 (локално повишаване на привилегиите), Siport (повишаване на привилегиите) и Simatic CP 1543-1 (неоторизиран достъп до файловата система).

Siemens също така информира клиентите, че Solid Edge е засегнат от няколко недостатъка, които могат да бъдат използвани за изпълнение на код или DoS атаки, като накарат целевия потребител да отвори специално създаден файл.

Проблеми със средна степен на опасност са отстранени от компанията в Mendix Runtime (заобикаляне на мерките за блокиране на акаунти) и Ruggedcom Crossbow Station Access Controller (изпълнение на код, DoS).

Schneider Electric е публикувала четири нови препоръки. В едно от тях се описва критична уязвимост на EcoStruxure IT Gateway, която може да позволи на нападател да поеме контрол над системата и да получи чувствителна информация.

В електромерите от серията PowerLogic PM5300 индустриалният гигант е поправил проблем с висока степен на опасност DoS.

В контролерите Modicon M340, Momentum и MC80 компанията разреши пет критични и високосериозни проблема, които могат да бъдат използвани при атаки от типа „човек в средата“, за да се предизвика DoS състояние или да се изпълни произволен код.

CISA публикува три нови препоръки. Едната обхваща три критични уязвимости в платформата за управление на устройства Subnet PowerSystem Center OT.

Втората консултация описва две уязвимости в радиостанции Hitachi Energy TRO600, които могат да бъдат използвани за изпълнение на команди с привилегии на root и за получаване на ценна конфигурационна информация.

Третата консултация обхваща уязвимост с висока степен на опасност за отдалечено изпълнение на код във FactoryTalk View ME на Rockwell Automation.

Rockwell Automation публикува своя собствена консултация Patch Tuesday за този недостатък, заедно с втора консултация, описваща един критичен и два проблема с висока степен на опасност във FactoryTalk Updater.

Уязвимостите на FactoryTalk Updater включват проблем със заобикаляне на удостоверяването, който позволява на нападателя да се представи за потребител, грешка с отдалечено изпълнение на код, която изисква високи разрешения, и локален недостатък с повишаване на привилегиите.

 

Източник: e-security.bg

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
29 ноември 2024

Бъдещето на безсървърната сигурност през 2025 г

Безсървърните среди, използващи услуги като AWS Lambda, предлагат н...
Бъдете социални
Още по темата
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
01/12/2024

Evil Twin WiFi Attack: Ръко...

Добре дошли в задълбоченото изследване на...
22/11/2024

Wiz купува Dazz за 450 мили...

Горещият доставчик на облачна сигурност Wiz...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!