Вторникът с кръпките от септември 2024 г. включва съвети за сигурност от няколко доставчици на индустриални системи за управление (ICS), включително Siemens, Schneider Electric и ABB, както и от американската агенция за киберсигурност CISA.
Siemens публикува 17 нови препоръки. Най-сериозната от уязвимостите въз основа на нейната CVSS оценка – Siemens вече включва CVSS 4.0 оценки в някои съвети – е критичен проблем с заобикаляне на удостоверяването в продукта Industrial Edge Management. Недостатъкът може да позволи на неавтентифициран отдалечен нападател да се представи за други устройства, свързани със системата.
Списъкът с критични уязвимости включва също така недостатъци в неавтентифицирано отдалечено изпълнение на код в продукти Simatic и уязвимост в инжектиране на код в продукти Scalance W.
Други потенциално сериозни недостатъци – с оценки на сериозността „критични“ или „високи“ – включват DoS грешки в продуктите Automation License Manager и Sicam, проблем с повишаване на привилегиите в продуктите Sinumerik, проблем с отдалечено изпълнение на код в Sinema Remote Connect Client и потенциален проблем с произволно изпълнение на код или срив в Tecnomatix Plant Simulation.
В различни продукти на Simatic са открити грешки с висока степен на опасност от DoS. Проблеми със средна степен на опасност са отстранени в продуктите Sinumerik, Sinema и Mendix.
Siemens все още не е пуснала кръпки за някои от тези уязвимости, но са налични смекчаващи мерки и обходни пътища.
Schneider Electric публикува две нови препоръки за две нови уязвимости. Едната от тях е ескалация на привилегии с висока степен на опасност във Vijeo Designer. Втората уязвимост е XSS бъг със средна степен на опасност, който може да бъде използван от автентикиран нападател.
ABB публикува една консултация, за да информира клиентите за два DoS проблема със средна тежест в защитните релета Relion.
CISA е публикувала четири препоръки за ICS. Едната от тях обхваща три критични уязвимости с висока степен на опасност във Viessmann Climate Solutions SE. Недостатъците са свързани с твърдо кодирани пълномощия, принудително сърфиране и инжектиране на команди, а PoC кодът е публично достъпен.
Останалите три препоръки обхващат уязвимост с висока степен на опасност при качване на файлове в SpiderControl SCADA Web Server, грешка с висока степен на опасност при DoS в Rockwell Automation SequenceManager и проблем със средна степен на опасност при излагане на информация в приложенията за Android на BPL Medical Technologies.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.