17.09.2021 | Siemens и Schneider Electric устранили более 40 уязвимостей в своих продуктах |
Компании Siemens и Schneider Electric опубликовали в общей сложности 25 бюллетеней по устранению более 40 уязвимостей, затрагивающих их продукты для промышленных предприятий. Siemens выпустила 21 новый бюллетень и обновила 25 ранее опубликованных бюллетеней. Новые бюллетени охватывают 36 уязвимостей, в том числе пять критических проблем. Одна из критических уязвимостей, получившая максимальные 10 баллов по шкале CVSS, затрагивает платформу управления строительством Desigo CC и станцию управления опасностями (danger management station, DMS) Cerberus. Уязвимость десериализации может позволить неавторизованному злоумышленнику выполнить произвольный код на системе. Риск эксплуатации выше для систем, подключенных непосредственно к интернету. Другая критическая проблема с оценкой в 10 баллов по шкале CVSS — уязвимость внедрения команд, затрагивающая приложение Siveillance Open Interface Services (OIS). Проблема может быть использована удаленным неавторизованным злоумышленником для выполнения кода с привилегиями суперпользователя. Критической также является уязвимость переполнению буфера в web-сервере устройств автоматизации APOGEE и TALON. Удаленный злоумышленник может использовать проблему для выполнения произвольного кода с привилегиями суперпользователя. В приложении Siemens Industrial Edge устранена критическая проблема, которая может позволить неавторизованному злоумышленнику изменить пароль любого пользователя в системе. Еще одна критическая проблема затрагивает реле SIPROTEC 5 и может позволить удаленному злоумышленнику вызвать состояние отказа в обслуживании (DoS) или выполнить произвольный код. Устранены опасные проблемы в устройствах Ruggedcom ROX (уязвимость перехвата контроля над устройством), Simcenter STAR-CCM + Viewer (выполнение кода или хищение данных), Siemens NX (нарушение доступа и потенциальное выполнение кода), SINEC NMS (загрузка файлов из файловой системы и управление конфигурацией), переключателях SCALANCE (DoS), Teamcenter (перехват контроля над учетной записью и несанкционированный доступ к данным), модулях SIMATIC NET CP (DoS), LOGO! CMR и SIMATIC RTU 3000 (DoS), SIPROTEC 5 (DoS), RFID-терминалах (выполнение кода) и SINEMA Remote Connect Server (DoS). Компания Schneider Electric выпустила четыре уведомления, охватывающих в общей сложности семь уязвимостей. Две проблемы затрагивают продукт StruxureWare Data Center Expert для управления физической инфраструктурой. Обе критические уязвимости могут позволить злоумышленнику удаленно выполнить произвольный код. В продуктах EcoStruxure Control Expert, EcoStruxure Process Expert и SCADAPack RemoteConnect выявлена уязвимость, позволяющая выполнить произвольный код. Для успешной эксплуатации злоумышленнику потребуется обманом заставить жертву открыть файл вредоносного проекта. В компоненте web-сервера ПЛК Modicon M340 исправлены три опасных проблемы. Они могут быть использованы для получения конфиденциальной информации или вызова состояния DoS. |
Проверить безопасность сайта