聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

2022年,西门子和施耐德电气公司发布新一轮安全公告,共计修复了40个漏洞。

西门子

西门子发布五份安全公告,共修复14个漏洞。从CVSS评分来看,最重要的安全公告说明的是影响 SICAM A8000 设备的两个缺陷。其中一个缺陷是“严重”等级,和使用硬编码默认凭据的未记录的调试端口有关,可使攻击者访问设备上的管理员调试 shell。第二个漏洞是“中危”级别,可使未认证攻击者访问日志问及那和诊断数据。

西门子还在另外一份安全公告中说明了影响 COMOS 工厂工称软件的两个高危和两个中危漏洞。攻击者可利用这些漏洞执行任意代码或命令。

西门子还发布了另外一份和 Nucleus RTOS 漏洞(被统称为 NUCLEUS:13)相关的安全公告,解决了这些漏洞对 PLUSCONTROL 设备的影响。

余下安全公告说明的是位于 SIPROTEC 5 产品中的一个中危信息泄露漏洞和一个可被用于在 SICAM PQ Analyzer 上实现持久性和DoS 条件的低危漏洞。

西门子为上述所有漏洞发布了补丁和/或缓解措施。

施耐德电气

施耐德电气公司共发布七份安全公告,解决了26个漏洞。

其中一份安全公告说明的是位于 Easergy P5 中压防护中继中的两个高危漏洞,可导致攻击者破坏或完全控制设备,“导致电力网络防护丢失”。

该公司发布的另一份公告说明了对 Easergy P3 中继具有类似影响的漏洞。

另外一份公告解决了位于 EcoStruxure Power Monitoring Expert 产品中的两个高危和两个中危漏洞。它们可被用于获取信息或破坏系统。

施耐德电气公司还通知客户称 ConneXium Tofino 防火墙产品受六个高危和中危漏洞影响。这些漏洞可导致服务中断或配置更改,从而允许恶意网络流量。

其它安全公告说明的是位于第三方 Codesys 组件中的10个漏洞、位于 Modicon M340 控制器中的 DoS 和 CSRF 缺陷以及位于Easergy T300 RTU 中可导致代码执行或 DoS 条件的一个弱点。

施耐德电气公司也为这些产品中的漏洞发布补丁和/或缓解措施。

推荐阅读

很多工控产品都在用的 CODESYS 软件中被曝10个严重漏洞

黑客利用 VPN 漏洞远程入侵工控系统

通过条形码扫描器攻击工控系统

我从1组工控系统蜜罐中捞了4个 0day exploits

MITRE 发布工控系统的 ATT&CK 框架

原文链接

https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-40-vulnerabilities

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

工控补丁星期二:西门子、施耐德电气修复40个漏洞相关推荐

  1. 工控2月补丁星期二:西门子、施耐德电气修复近50个漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,工业巨头西门子和施耐德电气公司共发布了15份安全公告,修复了近50个漏洞. 西门子 西门子发布了9份安全公告,修复了27个漏洞.从CVS ...

  2. 工控随笔_09_西门子_S7-200 Smart与V20 USS通信USS_RPM_R利用轮询的方式通讯异常

    工控随笔_09_西门子_S7-200 Smart与V20 USS通信USS_RPM_R利用轮询的方式通讯异常 参考文章: (1)工控随笔_09_西门子_S7-200 Smart与V20 USS通信US ...

  3. 微软下周将发布重磅安全公告 修复40个漏洞

    时间不知不觉已经来到年底,微软这个月的Patch Tuesday因为补丁多,涉及范围广而特别引人注目,本月14日,微软将发布17个安全公告,修复40个漏洞(10月份修复49个漏洞,但并没有这么多的公告 ...

  4. 构建虚拟工控环境系列 - 西门子虚拟PLC

    一. 概述 跟随着工控安全一路走来,工控安全市场今年明显有相当大的改善,无论从政策还是客户需求,都在逐步扩大中.但是,搞工控安全研究的人员却寥寥无几.一方面工控安全是个跨学课的技术,需要了解多方面的知 ...

  5. 工控随笔_04_西门子_解决Step 7软件因授权问题不能打开的方式和方法

    西门子的软件是授权软件,只有经过授权认证的用户才能使用,如果没有通过授权认证则不能 正常的使用软件的相关功能. 一.西门子授权不成功问题 如上图所示报故障代码: 000001-0505.报警文本为:未 ...

  6. 工控随笔_05_西门子_Step7软件仿真方法

    现在的PLC厂商提供的开发环境都具备仿真能力.无论是西门子.三菱.罗克韦尔还是ABB 或是其他一些厂商提供的产品都具有仿真功能. 仿真就是在没有硬件的情况下来测试程序功能,同时也为初学者提供了方便,即 ...

  7. 博图os更新_博图os更新_工控随笔_24_西门子TIA 博图硬件目录的更新

    西门子博图软件,不但体积庞大,功能也很复杂,与经典的Step7相比,如果不是经常使用,一般都会有一种很难使用的感觉. 而且相比原来的Step7操作有点不太一样.这里简单的说一下硬件目录的更新. 有两种 ...

  8. 工控随笔_10_西门子_WinCC的VBS脚本_01_基础入门

    很多人都认为VB语言或者VBS脚本语言是一种很low的语言,从心里看不起VB或者VBS, 但是其实VBS不仅可以做为系统管理员的利器,同样在工控领域VBS语言大有用武之地. 西门子的WinCC提供了两 ...

  9. 2、零基础学工控——详细了解西门子PLC

    ☞☞☞点击查看更多优秀工控PLC博客☜☜☜ 大家好我是你们的朋友JamesBin,上节课我们只是浅显的认识了一下PLC,但是可能大家还是不知道PLC是什么,他是如何工作的,那么就让我们再来详细的认识一 ...

最新文章

  1. UnitOfWork以及其在ABP中的应用
  2. Materials Studio 做分子动力学MD(CO2为例)
  3. python爬虫自学笔记分析解密_python爬虫学习笔记——1 各种文本分析工具简介之汇总...
  4. 哇靠靠,这也行?零基础DIY无人驾驶小车(三)
  5. python-socket介绍
  6. Idea导入maven工程,并运行
  7. python包之间引用_python 子包引用父包和其他子包
  8. c oracle更新参数化,Dapper的参数化更新和插入?
  9. 暴力 ZOJ 1403 Safecracker
  10. 算法第四版C++算法实现全集
  11. 计算机维护系统Win8PE,U盘启动计算机维护系统(Win8PEx64内核仅160M)
  12. 计算机学不学p图的,五分钟学会P图!只需要电脑自带的看图软件!无需专业的PS软件!...
  13. My97时间控件限制
  14. Ubuntu问题:E45: ‘readonly‘ option is set (add ! to override)错误解决
  15. 学校计算机考试插u盘,一种带USB插头的计算机考试防U盘作弊装置的制作方法
  16. nbu客户端卸载_NBU客户端安装失败
  17. 博士申请 | 香港中文大学(深圳)李彤欣老师课题组招收全奖博士/博后
  18. 最新微信ipad协议, CODE获取 公众号授权等
  19. 成功没有偶然·李嘉诚 之读书笔记
  20. SQL的数据批量处理

热门文章

  1. WCF BasicHttpBinding 安全解析(1)BasicHttpBinding基本配置
  2. Flask源码解析:从第一个版本开始阅读Flask源码
  3. 【算法编程】旋转数组查找最小数字
  4. 国内首家VR虚拟现实主题公园即将在北京推出
  5. Java 用DBCP连接数据库。
  6. CSS3和jQuery实现的自定义美化Checkbox和Radiobox
  7. 艾伟_转载:扩展方法 之 基本数据篇
  8. mysql怎么添加默认约束_分享知识-快乐自己:MySQL中的约束,添加约束,删除约束,以及一些其他修饰...
  9. python图像转矩阵_python 图像转矩阵,矩阵转图像
  10. 高通驱动9008安装_小米10/Redmi K30 Pro系列已支持GPU驱动独立更新,还能双版本切换...