Siemens и Schneider Electric устранили более 40 уязвимостей в своих продуктах

Siemens и Schneider Electric устранили более 40 уязвимостей в своих продуктах

Несколько критических уязвимостей получили максимальные 10 баллов по шкале CVSS.

Компании Siemens и Schneider Electric опубликовали в общей сложности 25 бюллетеней по устранению более 40 уязвимостей, затрагивающих их продукты для промышленных предприятий.

Siemens выпустила 21 новый бюллетень и обновила 25 ранее опубликованных бюллетеней. Новые бюллетени охватывают 36 уязвимостей, в том числе пять критических проблем. Одна из критических уязвимостей, получившая максимальные 10 баллов по шкале CVSS, затрагивает платформу управления строительством Desigo CC и станцию ​​управления опасностями (danger management station, DMS) Cerberus. Уязвимость десериализации может позволить неавторизованному злоумышленнику выполнить произвольный код на системе. Риск эксплуатации выше для систем, подключенных непосредственно к интернету.

Другая критическая проблема с оценкой в 10 баллов по шкале CVSS — уязвимость внедрения команд, затрагивающая приложение Siveillance Open Interface Services (OIS). Проблема может быть использована удаленным неавторизованным злоумышленником для выполнения кода с привилегиями суперпользователя.

Критической также является уязвимость переполнению буфера в web-сервере устройств автоматизации APOGEE и TALON. Удаленный злоумышленник может использовать проблему для выполнения произвольного кода с привилегиями суперпользователя.

В приложении Siemens Industrial Edge устранена критическая проблема, которая может позволить неавторизованному злоумышленнику изменить пароль любого пользователя в системе.

Еще одна критическая проблема затрагивает реле SIPROTEC 5 и может позволить удаленному злоумышленнику вызвать состояние отказа в обслуживании (DoS) или выполнить произвольный код.

Устранены опасные проблемы в устройствах Ruggedcom ROX (уязвимость перехвата контроля над устройством), Simcenter STAR-CCM + Viewer (выполнение кода или хищение данных), Siemens NX (нарушение доступа и потенциальное выполнение кода), SINEC NMS (загрузка файлов из файловой системы и управление конфигурацией), переключателях SCALANCE (DoS), Teamcenter (перехват контроля над учетной записью и несанкционированный доступ к данным), модулях SIMATIC NET CP (DoS), LOGO! CMR и SIMATIC RTU 3000 (DoS), SIPROTEC 5 (DoS), RFID-терминалах (выполнение кода) и SINEMA Remote Connect Server (DoS).

Компания Schneider Electric выпустила четыре уведомления, охватывающих в общей сложности семь уязвимостей. Две проблемы затрагивают продукт StruxureWare Data Center Expert для управления физической инфраструктурой. Обе критические уязвимости могут позволить злоумышленнику удаленно выполнить произвольный код.

В продуктах EcoStruxure Control Expert, EcoStruxure Process Expert и SCADAPack RemoteConnect выявлена уязвимость, позволяющая выполнить произвольный код. Для успешной эксплуатации злоумышленнику потребуется обманом заставить жертву открыть файл вредоносного проекта.

В компоненте web-сервера ПЛК Modicon M340 исправлены три опасных проблемы. Они могут быть использованы для получения конфиденциальной информации или вызова состояния DoS.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!