工控补丁星期二:西门子、施耐德电气修复40个漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
2022年,西门子和施耐德电气公司发布新一轮安全公告,共计修复了40个漏洞。
西门子
西门子发布五份安全公告,共修复14个漏洞。从CVSS评分来看,最重要的安全公告说明的是影响 SICAM A8000 设备的两个缺陷。其中一个缺陷是“严重”等级,和使用硬编码默认凭据的未记录的调试端口有关,可使攻击者访问设备上的管理员调试 shell。第二个漏洞是“中危”级别,可使未认证攻击者访问日志问及那和诊断数据。
西门子还在另外一份安全公告中说明了影响 COMOS 工厂工称软件的两个高危和两个中危漏洞。攻击者可利用这些漏洞执行任意代码或命令。
西门子还发布了另外一份和 Nucleus RTOS 漏洞(被统称为 NUCLEUS:13)相关的安全公告,解决了这些漏洞对 PLUSCONTROL 设备的影响。
余下安全公告说明的是位于 SIPROTEC 5 产品中的一个中危信息泄露漏洞和一个可被用于在 SICAM PQ Analyzer 上实现持久性和DoS 条件的低危漏洞。
西门子为上述所有漏洞发布了补丁和/或缓解措施。
施耐德电气
施耐德电气公司共发布七份安全公告,解决了26个漏洞。
其中一份安全公告说明的是位于 Easergy P5 中压防护中继中的两个高危漏洞,可导致攻击者破坏或完全控制设备,“导致电力网络防护丢失”。
该公司发布的另一份公告说明了对 Easergy P3 中继具有类似影响的漏洞。
另外一份公告解决了位于 EcoStruxure Power Monitoring Expert 产品中的两个高危和两个中危漏洞。它们可被用于获取信息或破坏系统。
施耐德电气公司还通知客户称 ConneXium Tofino 防火墙产品受六个高危和中危漏洞影响。这些漏洞可导致服务中断或配置更改,从而允许恶意网络流量。
其它安全公告说明的是位于第三方 Codesys 组件中的10个漏洞、位于 Modicon M340 控制器中的 DoS 和 CSRF 缺陷以及位于Easergy T300 RTU 中可导致代码执行或 DoS 条件的一个弱点。
施耐德电气公司也为这些产品中的漏洞发布补丁和/或缓解措施。
推荐阅读
很多工控产品都在用的 CODESYS 软件中被曝10个严重漏洞
黑客利用 VPN 漏洞远程入侵工控系统
通过条形码扫描器攻击工控系统
我从1组工控系统蜜罐中捞了4个 0day exploits
MITRE 发布工控系统的 ATT&CK 框架
原文链接
https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-40-vulnerabilities
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
工控补丁星期二:西门子、施耐德电气修复40个漏洞相关推荐
- 工控2月补丁星期二:西门子、施耐德电气修复近50个漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,工业巨头西门子和施耐德电气公司共发布了15份安全公告,修复了近50个漏洞. 西门子 西门子发布了9份安全公告,修复了27个漏洞.从CVS ...
- 工控随笔_09_西门子_S7-200 Smart与V20 USS通信USS_RPM_R利用轮询的方式通讯异常
工控随笔_09_西门子_S7-200 Smart与V20 USS通信USS_RPM_R利用轮询的方式通讯异常 参考文章: (1)工控随笔_09_西门子_S7-200 Smart与V20 USS通信US ...
- 微软下周将发布重磅安全公告 修复40个漏洞
时间不知不觉已经来到年底,微软这个月的Patch Tuesday因为补丁多,涉及范围广而特别引人注目,本月14日,微软将发布17个安全公告,修复40个漏洞(10月份修复49个漏洞,但并没有这么多的公告 ...
- 构建虚拟工控环境系列 - 西门子虚拟PLC
一. 概述 跟随着工控安全一路走来,工控安全市场今年明显有相当大的改善,无论从政策还是客户需求,都在逐步扩大中.但是,搞工控安全研究的人员却寥寥无几.一方面工控安全是个跨学课的技术,需要了解多方面的知 ...
- 工控随笔_04_西门子_解决Step 7软件因授权问题不能打开的方式和方法
西门子的软件是授权软件,只有经过授权认证的用户才能使用,如果没有通过授权认证则不能 正常的使用软件的相关功能. 一.西门子授权不成功问题 如上图所示报故障代码: 000001-0505.报警文本为:未 ...
- 工控随笔_05_西门子_Step7软件仿真方法
现在的PLC厂商提供的开发环境都具备仿真能力.无论是西门子.三菱.罗克韦尔还是ABB 或是其他一些厂商提供的产品都具有仿真功能. 仿真就是在没有硬件的情况下来测试程序功能,同时也为初学者提供了方便,即 ...
- 博图os更新_博图os更新_工控随笔_24_西门子TIA 博图硬件目录的更新
西门子博图软件,不但体积庞大,功能也很复杂,与经典的Step7相比,如果不是经常使用,一般都会有一种很难使用的感觉. 而且相比原来的Step7操作有点不太一样.这里简单的说一下硬件目录的更新. 有两种 ...
- 工控随笔_10_西门子_WinCC的VBS脚本_01_基础入门
很多人都认为VB语言或者VBS脚本语言是一种很low的语言,从心里看不起VB或者VBS, 但是其实VBS不仅可以做为系统管理员的利器,同样在工控领域VBS语言大有用武之地. 西门子的WinCC提供了两 ...
- 2、零基础学工控——详细了解西门子PLC
☞☞☞点击查看更多优秀工控PLC博客☜☜☜ 大家好我是你们的朋友JamesBin,上节课我们只是浅显的认识了一下PLC,但是可能大家还是不知道PLC是什么,他是如何工作的,那么就让我们再来详细的认识一 ...
最新文章
- UnitOfWork以及其在ABP中的应用
- Materials Studio 做分子动力学MD(CO2为例)
- python爬虫自学笔记分析解密_python爬虫学习笔记——1 各种文本分析工具简介之汇总...
- 哇靠靠,这也行?零基础DIY无人驾驶小车(三)
- python-socket介绍
- Idea导入maven工程,并运行
- python包之间引用_python 子包引用父包和其他子包
- c oracle更新参数化,Dapper的参数化更新和插入?
- 暴力 ZOJ 1403 Safecracker
- 算法第四版C++算法实现全集
- 计算机维护系统Win8PE,U盘启动计算机维护系统(Win8PEx64内核仅160M)
- 计算机学不学p图的,五分钟学会P图!只需要电脑自带的看图软件!无需专业的PS软件!...
- My97时间控件限制
- Ubuntu问题:E45: ‘readonly‘ option is set (add ! to override)错误解决
- 学校计算机考试插u盘,一种带USB插头的计算机考试防U盘作弊装置的制作方法
- nbu客户端卸载_NBU客户端安装失败
- 博士申请 | 香港中文大学(深圳)李彤欣老师课题组招收全奖博士/博后
- 最新微信ipad协议, CODE获取 公众号授权等
- 成功没有偶然·李嘉诚 之读书笔记
- SQL的数据批量处理
热门文章
- WCF BasicHttpBinding 安全解析(1)BasicHttpBinding基本配置
- Flask源码解析:从第一个版本开始阅读Flask源码
- 【算法编程】旋转数组查找最小数字
- 国内首家VR虚拟现实主题公园即将在北京推出
- Java 用DBCP连接数据库。
- CSS3和jQuery实现的自定义美化Checkbox和Radiobox
- 艾伟_转载:扩展方法 之 基本数据篇
- mysql怎么添加默认约束_分享知识-快乐自己:MySQL中的约束,添加约束,删除约束,以及一些其他修饰...
- python图像转矩阵_python 图像转矩阵,矩阵转图像
- 高通驱动9008安装_小米10/Redmi K30 Pro系列已支持GPU驱动独立更新,还能双版本切换...