本周,西门子和施耐德电气发布了安全公告,解决了影响其工业产品的50个漏洞,包括西门子的SimaticCN4100、RuggedcomROX、SimaticMV500和TecnomatixPlantSimulation等多个产品,以及施耐德电气的Codesys运行时系统、StruxureWareDataCenterExpert和EcoStruxureOPCUAServerExpert等。这些漏洞可能被利用来执行任意代码、触发DoS条件或进行越权访问。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周二,西门子和施耐德电气公司发布九份安全公告,修复了影响其工业产品的50个漏洞。
西门子
西门子发布五份安全公告,通知客户修复40多个漏洞。
西门子修复了 Simatic CN 4100 通信系统中的一个严重漏洞,可被用于获取管理员权限并完全控制设备。另外还修复了系统中可导致网络隔离遭绕过的一个高危漏洞。
Ruggedcom ROX 产品中存在21个漏洞,其中一些漏洞可被用于获取信息、执行任意命令或代码、触发 DoS 条件,或通过 CSRF 攻击执行任意操作。其中多数漏洞的被评级为“严重”或“高危”级别,而且一些影响第三方组件。
Simatic MV500 光输入机、web服务器及其第三方组件中存在十几个漏洞,其中一些是严重和高危级别,如遭利用,可导致拒绝服务或信息泄露。
西门子还修复了位于 Tecnomatix Plant Simulation 软件中的6个高危漏洞,可导致应用崩溃或通过使目标用户打开特殊构造的文件,执行任意代码。
另外,西门子还修复了 SiPass 访问控制系统中的一个高危拒绝服务漏洞。
施耐德电气
施耐德电气公司发布了四份安全公告,包括6个影响该公司产品的漏洞以及影响第三方组件Codesys 运行时系统V3通信服务器的十几个漏洞。
Codesys 漏洞影响 PacDrive 和 Modicon 控制器、Harmony HMI和内嵌在EcoStruxure Machine Expert 中的SoftSPS 仿真运行时。利用这些漏洞可能导致拒绝服务以及远程代码执行后果。
施耐德电气在 StruxureWare Data Center Expert (DCE) 监控软件中修复了两个高危和一个中危漏洞,它们可导致越权访问或远程代码执行后果。
另外,施耐德电气公司还修复了适用于传感器的 Accutech Manager 应用中的一个高危漏洞以及 EcoStruxure OPC UA Server Expert 产品中的一个中危漏洞。
施耐德电气和西门子能源公司最近证实称遭 CI0p 勒索团伙攻击,该团伙利用的是 MOVEit 0day。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
研究员披露影响10家OT厂商工控设备的56个漏洞OT:ICEFALL
原文链接
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-50-vulnerabilities/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
