《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 工業(yè)控制系統(tǒng)8月補丁周:西門子和施耐德解決50多個漏洞

工業(yè)控制系統(tǒng)8月補丁周:西門子和施耐德解決50多個漏洞

2021-08-15
來源:網(wǎng)空閑話
關(guān)鍵詞: 西門子 施耐德 漏洞

  工業(yè)巨頭西門子(Siemens)和施耐德電氣(Schneider Electric)當(dāng)?shù)貢r間周二發(fā)布了18條安全警告,解決了影響其產(chǎn)品的總共50多個漏洞。供應(yīng)商提供了補丁、緩解措施和一般安全建議,以降低遭遇攻擊風(fēng)險。

  西門子

  工業(yè)巨頭西門子當(dāng)?shù)貢r間8月10日發(fā)布了2021年8月補丁周的10個新安全警告,它們總共涵蓋了32個漏洞。

  根據(jù)他們指定的嚴(yán)重程度,最重要的建議是DNS相關(guān)漏洞“NAME:WRECK”對公司SGT工業(yè)燃?xì)廨啓C的影響。這已經(jīng)不是西門子第一次就NAME:WRECK缺陷對其產(chǎn)品的影響發(fā)布安全咨詢建議了。

  西門子的另一項咨詢建議描述了其SIMATIC CP 1543-1和CP 1545-1設(shè)備的ProFTPD組件中的幾個嚴(yán)重漏洞。這些安全漏洞允許攻擊者遠(yuǎn)程獲取敏感信息或執(zhí)行任意代碼。

  這家德國工業(yè)巨頭的SIMATIC S7-1200PLC缺少認(rèn)證的缺陷被評為高級別。攻擊者可以利用該漏洞繞過認(rèn)證,將任意程序下載到PLC中。

  一份描述JT2Go和Teamcenter Visualization中的漏洞的建議涵蓋了7個可用于DoS攻擊、信息泄露或遠(yuǎn)程代碼執(zhí)行的漏洞。它們的利用包括讓目標(biāo)用戶打開一個專門制作的文件。

  針對JT2Go和Teamcenter Visualization的單獨建議描述了兩個嚴(yán)重程度較高的缺陷,它們可能導(dǎo)致DoS或任意代碼執(zhí)行,以及一個中度嚴(yán)重程度較高的問題,它們可能導(dǎo)致信息泄露。針對這些產(chǎn)品的警告通常針對許多cve,因為缺陷是相似的,但它們是使用不同的文件格式觸發(fā)的。

  另一份涵蓋了許多CVE(準(zhǔn)確地說是十幾個)的咨詢建議,描述了英特爾產(chǎn)品中的漏洞對西門子工業(yè)系統(tǒng)的影響。西門子已經(jīng)發(fā)布了幾個受影響產(chǎn)品的更新,并正在為其余產(chǎn)品開發(fā)BIOS補丁。

  在Solid Edge產(chǎn)品中,西門子修補了兩個高度嚴(yán)重的代碼執(zhí)行漏洞,用戶可以利用這兩個漏洞打開專門制作的文件。

  該公司解決的最后一個高級別缺陷是影響SINEC NMS(網(wǎng)絡(luò)管理系統(tǒng))的操作系統(tǒng)命令注入問題。然而,利用需要管理權(quán)限。

  西門子是工業(yè)控制系統(tǒng)漏洞的大戶,2020全年共被披露有CVE編號漏洞101個,2021年截止目前已披露CVE編號漏洞176個(美國NVD漏洞庫數(shù)據(jù)),基本上是漏洞數(shù)量的排行老大。

  施耐德電氣

  施耐德電氣(Schneider Electric)當(dāng)?shù)貢r間8月10日發(fā)布了八份新的安全警告,涵蓋了總共25個漏洞。

  這家工業(yè)巨頭發(fā)布的其中兩份警告,描述Windows漏洞對其NTZ Mekhanotronika Rus控制面板的影響。一個建議是針對HTTP協(xié)議棧遠(yuǎn)程代碼執(zhí)行漏洞,微軟在5月修補了該漏洞;第二個建議是針對與Windows Print Spooler服務(wù)相關(guān)的兩個問題,包括臭名昭著的PrintNightmare漏洞。

  另一份報告描述了使用CODESYS工業(yè)自動化軟件帶來的三個嚴(yán)重問題。這些缺陷影響了施耐德和其他幾家主要供應(yīng)商的工業(yè)控制系統(tǒng)(ICS)。

  此外,還對可能導(dǎo)致DoS或未經(jīng)授權(quán)訪問的Harmony HMI漏洞、Pro-face GP-Pro EX HMI屏幕編輯器和邏輯編程軟件中的特權(quán)提升問題以及AccuSine電源穩(wěn)定產(chǎn)品中的信息泄露漏洞進(jìn)行了高級別評級。

  施耐德還發(fā)布了一份關(guān)于影響AT&T實驗室壓縮機(XMilI)和解壓器(XDemill)公用設(shè)施的十幾個漏洞的建議,這些漏洞用于該公司的EcoStruxure和SCADAPack產(chǎn)品。AT&T實驗室不再支持受影響的軟件,因此供應(yīng)商不會發(fā)布補丁,但施耐德確實計劃在未來自己的產(chǎn)品中解決這個問題。思科Talos的研究人員發(fā)現(xiàn)了這些漏洞,并披露了每個漏洞的技術(shù)細(xì)節(jié)。

  施耐德電器2020年共被披露CVE編號的漏洞88個(美國國家漏洞庫NVD數(shù)據(jù))。2021年截止目前已被披露66個CVE編號漏洞。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。