Siemens и Schneider Electric устранили более 40 уязвимостей в своих продуктах
16 сентября 2021 года
Компании Siemens и Schneider Electric опубликовали в общей сложности 25 бюллетеней по устранению более 40 уязвимостей, затрагивающих их продукты для промышленных предприятий.
Siemens выпустила 21 новый бюллетень и обновила 25 ранее опубликованных бюллетеней. Новые бюллетени охватывают 36 уязвимостей, в том числе пять критических проблем. Одна из критических уязвимостей, получившая максимальные 10 баллов по шкале CVSS, затрагивает платформу управления строительством Desigo CC и станцию управления опасностями (danger management station, DMS) Cerberus. Уязвимость десериализации может позволить неавторизованному злоумышленнику выполнить произвольный код на системе. Риск эксплуатации выше для систем, подключенных непосредственно к интернету.
Другая критическая проблема с оценкой в 10 баллов по шкале CVSS — уязвимость внедрения команд, затрагивающая приложение Siveillance Open Interface Services (OIS). Проблема может быть использована удаленным неавторизованным злоумышленником для выполнения кода с привилегиями суперпользователя.
Критической также является уязвимость переполнению буфера в web-сервере устройств автоматизации APOGEE и TALON. Удаленный злоумышленник может использовать проблему для выполнения произвольного кода с привилегиями суперпользователя.
В приложении Siemens Industrial Edge устранена критическая проблема, которая может позволить неавторизованному злоумышленнику изменить пароль любого пользователя в системе.
Еще одна критическая проблема затрагивает реле SIPROTEC 5 и может позволить удаленному злоумышленнику вызвать состояние отказа в обслуживании (DoS) или выполнить произвольный код.
Устранены опасные проблемы в устройствах Ruggedcom ROX (уязвимость перехвата контроля над устройством), Simcenter STAR-CCM + Viewer (выполнение кода или хищение данных), Siemens NX (нарушение доступа и потенциальное выполнение кода), SINEC NMS (загрузка файлов из файловой системы и управление конфигурацией), переключателях SCALANCE (DoS), Teamcenter (перехват контроля над учетной записью и несанкционированный доступ к данным), модулях SIMATIC NET CP (DoS), LOGO! CMR и SIMATIC RTU 3000 (DoS), SIPROTEC 5 (DoS), RFID-терминалах (выполнение кода) и SINEMA Remote Connect Server (DoS).
Компания Schneider Electric выпустила четыре уведомления, охватывающих в общей сложности семь уязвимостей. Две проблемы затрагивают продукт StruxureWare Data Center Expert для управления физической инфраструктурой. Обе критические уязвимости могут позволить злоумышленнику удаленно выполнить произвольный код.
В продуктах EcoStruxure Control Expert, EcoStruxure Process Expert и SCADAPack RemoteConnect выявлена уязвимость, позволяющая выполнить произвольный код. Для успешной эксплуатации злоумышленнику потребуется обманом заставить жертву открыть файл вредоносного проекта.
В компоненте web-сервера ПЛК Modicon M340 исправлены три опасных проблемы. Они могут быть использованы для получения конфиденциальной информации или вызова состояния DoS.
Источники[править]
Эта статья содержит материалы из статьи «Siemens и Schneider Electric устранили более 40 уязвимостей в своих продуктах», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.