Siemens и Schneider Electric устранили более 40 уязвимостей в своих продуктах.
17.09.2021 в 11:50 | SecurityLab.ru | Advis.ru
Несколько критических уязвимостей получили максимальные 10 баллов по шкале CVSS.
Компании Siemens и Schneider Electric опубликовали в общей сложности 25 бюллетеней по устранению более 40 уязвимостей, затрагивающих их продукты для промышленных предприятий.
Siemens выпустила 21 новый бюллетень и обновила 25 ранее опубликованных бюллетеней. Новые бюллетени охватывают 36 уязвимостей, в том числе пять критических проблем. Одна из критических уязвимостей, получившая максимальные 10 баллов по шкале CVSS, затрагивает платформу управления строительством Desigo CC и станцию управления опасностями (danger management station, DMS) Cerberus. Уязвимость десериализации может позволить неавторизованному злоумышленнику выполнить произвольный код на системе. Риск эксплуатации выше для систем, подключенных непосредственно к интернету.
Другая критическая проблема с оценкой в 10 баллов по шкале CVSS — уязвимость внедрения команд, затрагивающая приложение Siveillance Open Interface Services (OIS). Проблема может быть использована удаленным неавторизованным злоумышленником для выполнения кода с привилегиями суперпользователя.
Критической также является уязвимость переполнению буфера в web-сервере устройств автоматизации APOGEE и TALON. Удаленный злоумышленник может использовать проблему для выполнения произвольного кода с привилегиями суперпользователя.
В приложении Siemens Industrial Edge устранена критическая проблема, которая может позволить неавторизованному злоумышленнику изменить пароль любого пользователя в системе.
Еще одна критическая проблема затрагивает реле SIPROTEC 5 и может позволить удаленному злоумышленнику вызвать состояние отказа в обслуживании (DoS) или выполнить произвольный код.
Устранены опасные проблемы в устройствах Ruggedcom ROX (уязвимость перехвата контроля над устройством), Simcenter STAR-CCM + Viewer (выполнение кода или хищение данных), Siemens NX (нарушение доступа и потенциальное выполнение кода), SINEC NMS (загрузка файлов из файловой системы и управление конфигурацией), переключателях SCALANCE (DoS), Teamcenter (перехват контроля над учетной записью и несанкционированный доступ к данным), модулях SIMATIC NET CP (DoS), LOGO! CMR и SIMATIC RTU 3000 (DoS), SIPROTEC 5 (DoS), RFID-терминалах (выполнение кода) и SINEMA Remote Connect Server (DoS).
Компания Schneider Electric выпустила четыре уведомления, охватывающих в общей сложности семь уязвимостей. Две проблемы затрагивают продукт StruxureWare Data Center Expert для управления физической инфраструктурой. Обе критические уязвимости могут позволить злоумышленнику удаленно выполнить произвольный код.
В продуктах EcoStruxure Control Expert, EcoStruxure Process Expert и SCADAPack RemoteConnect выявлена уязвимость, позволяющая выполнить произвольный код. Для успешной эксплуатации злоумышленнику потребуется обманом заставить жертву открыть файл вредоносного проекта.
В компоненте web-сервера ПЛК Modicon M340 исправлены три опасных проблемы. Они могут быть использованы для получения конфиденциальной информации или вызова состояния DoS.
Для справки: Название компании: Сименс, ООО Адрес: ********** Телефоны: ********** Факсы: ********** E-Mail: ********** Web: ********** Руководитель: **********
Для справки: Название компании: ********** Адрес: ********** Телефоны: ********** Факсы: ********** E-Mail: ********** Web: ********** Руководитель: ********** [Для просмотра контактных данных нужно зарегистрироваться или авторизироваться]
Компании Siemens и Schneider Electric опубликовали в общей сложности 25 бюллетеней по устранению более 40 уязвимостей, затрагивающих их продукты для промышленных предприятий.
Siemens выпустила 21 новый бюллетень и обновила 25 ранее опубликованных бюллетеней. Новые бюллетени охватывают 36 уязвимостей, в том числе пять критических проблем. Одна из критических уязвимостей, получившая максимальные 10 баллов по шкале CVSS, затрагивает платформу управления строительством Desigo CC и станцию управления опасностями (danger management station, DMS) Cerberus. Уязвимость десериализации может позволить неавторизованному злоумышленнику выполнить произвольный код на системе. Риск эксплуатации выше для систем, подключенных непосредственно к интернету.
Другая критическая проблема с оценкой в 10 баллов по шкале CVSS — уязвимость внедрения команд, затрагивающая приложение Siveillance Open Interface Services (OIS). Проблема может быть использована удаленным неавторизованным злоумышленником для выполнения кода с привилегиями суперпользователя.
Критической также является уязвимость переполнению буфера в web-сервере устройств автоматизации APOGEE и TALON. Удаленный злоумышленник может использовать проблему для выполнения произвольного кода с привилегиями суперпользователя.
В приложении Siemens Industrial Edge устранена критическая проблема, которая может позволить неавторизованному злоумышленнику изменить пароль любого пользователя в системе.
Еще одна критическая проблема затрагивает реле SIPROTEC 5 и может позволить удаленному злоумышленнику вызвать состояние отказа в обслуживании (DoS) или выполнить произвольный код.
Устранены опасные проблемы в устройствах Ruggedcom ROX (уязвимость перехвата контроля над устройством), Simcenter STAR-CCM + Viewer (выполнение кода или хищение данных), Siemens NX (нарушение доступа и потенциальное выполнение кода), SINEC NMS (загрузка файлов из файловой системы и управление конфигурацией), переключателях SCALANCE (DoS), Teamcenter (перехват контроля над учетной записью и несанкционированный доступ к данным), модулях SIMATIC NET CP (DoS), LOGO! CMR и SIMATIC RTU 3000 (DoS), SIPROTEC 5 (DoS), RFID-терминалах (выполнение кода) и SINEMA Remote Connect Server (DoS).
Компания Schneider Electric выпустила четыре уведомления, охватывающих в общей сложности семь уязвимостей. Две проблемы затрагивают продукт StruxureWare Data Center Expert для управления физической инфраструктурой. Обе критические уязвимости могут позволить злоумышленнику удаленно выполнить произвольный код.
В продуктах EcoStruxure Control Expert, EcoStruxure Process Expert и SCADAPack RemoteConnect выявлена уязвимость, позволяющая выполнить произвольный код. Для успешной эксплуатации злоумышленнику потребуется обманом заставить жертву открыть файл вредоносного проекта.
В компоненте web-сервера ПЛК Modicon M340 исправлены три опасных проблемы. Они могут быть использованы для получения конфиденциальной информации или вызова состояния DoS.
Для справки: Название компании: Сименс, ООО Адрес: ********** Телефоны: ********** Факсы: ********** E-Mail: ********** Web: ********** Руководитель: **********
Для справки: Название компании: ********** Адрес: ********** Телефоны: ********** Факсы: ********** E-Mail: ********** Web: ********** Руководитель: ********** [Для просмотра контактных данных нужно зарегистрироваться или авторизироваться]
Введите e-mail получателя:
Укажите Ваш e-mail:
Получить информацию:
Получить информацию:
Специальное предложение
Не упустите возможности воспользоваться бонусами при покупке одного из самых рейтинговых обзоров INFOLine «Рынок DIY 2024 года».
В пакет входит бесплатное предложение:
- подписка на еженедельный отраслевой мониторинг «Рынок строительно-отделочных материалов, торговые сети DIY и товары для дома России и Республики Беларусь» II квартал 2024 года,
- свежий выпуск ежемесячного обзора «Инвестиционные проекты в жилищном строительстве РФ»,
- презентация INFOLine c бизнес-завтрака «Строительные материалы и рынок DIY. Итоги 2023 года, перспективы 2024-го».
Свяжитесь с нами любым удобным способом:
+7 (812) 322-68-48, +7 (495) 772-76-40
retail@infoline.spb.ru
Или напишите сообщение через бот https://t.me/INFOLine_auto_Bot – он сразу сообщит специалистам отдела развития INFOLine о вашем обращении.