工業(yè)巨頭西門子(Siemens)和施耐德電氣(Schneider Electric)當(dāng)?shù)貢r(shí)間周二發(fā)布了18條安全警告,解決了影響其產(chǎn)品的總共50多個(gè)漏洞,。供應(yīng)商提供了補(bǔ)丁,、緩解措施和一般安全建議,以降低遭遇攻擊風(fēng)險(xiǎn),。
西門子
工業(yè)巨頭西門子當(dāng)?shù)貢r(shí)間8月10日發(fā)布了2021年8月補(bǔ)丁周的10個(gè)新安全警告,,它們總共涵蓋了32個(gè)漏洞。
根據(jù)他們指定的嚴(yán)重程度,,最重要的建議是DNS相關(guān)漏洞“NAME:WRECK”對(duì)公司SGT工業(yè)燃?xì)廨啓C(jī)的影響,。這已經(jīng)不是西門子第一次就NAME:WRECK缺陷對(duì)其產(chǎn)品的影響發(fā)布安全咨詢建議了。
西門子的另一項(xiàng)咨詢建議描述了其SIMATIC CP 1543-1和CP 1545-1設(shè)備的ProFTPD組件中的幾個(gè)嚴(yán)重漏洞,。這些安全漏洞允許攻擊者遠(yuǎn)程獲取敏感信息或執(zhí)行任意代碼,。
這家德國(guó)工業(yè)巨頭的SIMATIC S7-1200PLC缺少認(rèn)證的缺陷被評(píng)為高級(jí)別。攻擊者可以利用該漏洞繞過認(rèn)證,,將任意程序下載到PLC中,。
一份描述JT2Go和Teamcenter Visualization中的漏洞的建議涵蓋了7個(gè)可用于DoS攻擊、信息泄露或遠(yuǎn)程代碼執(zhí)行的漏洞,。它們的利用包括讓目標(biāo)用戶打開一個(gè)專門制作的文件,。
針對(duì)JT2Go和Teamcenter Visualization的單獨(dú)建議描述了兩個(gè)嚴(yán)重程度較高的缺陷,它們可能導(dǎo)致DoS或任意代碼執(zhí)行,,以及一個(gè)中度嚴(yán)重程度較高的問題,,它們可能導(dǎo)致信息泄露。針對(duì)這些產(chǎn)品的警告通常針對(duì)許多cve,,因?yàn)槿毕菔窍嗨频?,但它們是使用不同的文件格式觸發(fā)的。
另一份涵蓋了許多CVE(準(zhǔn)確地說是十幾個(gè))的咨詢建議,,描述了英特爾產(chǎn)品中的漏洞對(duì)西門子工業(yè)系統(tǒng)的影響,。西門子已經(jīng)發(fā)布了幾個(gè)受影響產(chǎn)品的更新,并正在為其余產(chǎn)品開發(fā)BIOS補(bǔ)丁,。
在Solid Edge產(chǎn)品中,,西門子修補(bǔ)了兩個(gè)高度嚴(yán)重的代碼執(zhí)行漏洞,用戶可以利用這兩個(gè)漏洞打開專門制作的文件,。
該公司解決的最后一個(gè)高級(jí)別缺陷是影響SINEC NMS(網(wǎng)絡(luò)管理系統(tǒng))的操作系統(tǒng)命令注入問題,。然而,利用需要管理權(quán)限,。
西門子是工業(yè)控制系統(tǒng)漏洞的大戶,,2020全年共被披露有CVE編號(hào)漏洞101個(gè),,2021年截止目前已披露CVE編號(hào)漏洞176個(gè)(美國(guó)NVD漏洞庫(kù)數(shù)據(jù)),基本上是漏洞數(shù)量的排行老大,。
施耐德電氣
施耐德電氣(Schneider Electric)當(dāng)?shù)貢r(shí)間8月10日發(fā)布了八份新的安全警告,,涵蓋了總共25個(gè)漏洞。
這家工業(yè)巨頭發(fā)布的其中兩份警告,,描述Windows漏洞對(duì)其NTZ Mekhanotronika Rus控制面板的影響,。一個(gè)建議是針對(duì)HTTP協(xié)議棧遠(yuǎn)程代碼執(zhí)行漏洞,微軟在5月修補(bǔ)了該漏洞,;第二個(gè)建議是針對(duì)與Windows Print Spooler服務(wù)相關(guān)的兩個(gè)問題,包括臭名昭著的PrintNightmare漏洞,。
另一份報(bào)告描述了使用CODESYS工業(yè)自動(dòng)化軟件帶來的三個(gè)嚴(yán)重問題,。這些缺陷影響了施耐德和其他幾家主要供應(yīng)商的工業(yè)控制系統(tǒng)(ICS)。
此外,,還對(duì)可能導(dǎo)致DoS或未經(jīng)授權(quán)訪問的Harmony HMI漏洞,、Pro-face GP-Pro EX HMI屏幕編輯器和邏輯編程軟件中的特權(quán)提升問題以及AccuSine電源穩(wěn)定產(chǎn)品中的信息泄露漏洞進(jìn)行了高級(jí)別評(píng)級(jí)。
施耐德還發(fā)布了一份關(guān)于影響AT&T實(shí)驗(yàn)室壓縮機(jī)(XMilI)和解壓器(XDemill)公用設(shè)施的十幾個(gè)漏洞的建議,,這些漏洞用于該公司的EcoStruxure和SCADAPack產(chǎn)品,。AT&T實(shí)驗(yàn)室不再支持受影響的軟件,因此供應(yīng)商不會(huì)發(fā)布補(bǔ)丁,,但施耐德確實(shí)計(jì)劃在未來自己的產(chǎn)品中解決這個(gè)問題,。思科Talos的研究人員發(fā)現(xiàn)了這些漏洞,并披露了每個(gè)漏洞的技術(shù)細(xì)節(jié),。
施耐德電器2020年共被披露CVE編號(hào)的漏洞88個(gè)(美國(guó)國(guó)家漏洞庫(kù)NVD數(shù)據(jù)),。2021年截止目前已被披露66個(gè)CVE編號(hào)漏洞。