《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 工業(yè)控制系統(tǒng)8月補(bǔ)丁周:西門子和施耐德解決50多個(gè)漏洞

工業(yè)控制系統(tǒng)8月補(bǔ)丁周:西門子和施耐德解決50多個(gè)漏洞

2021-08-15
來源:網(wǎng)空閑話
關(guān)鍵詞: 西門子 施耐德 漏洞

  工業(yè)巨頭西門子(Siemens)和施耐德電氣(Schneider Electric)當(dāng)?shù)貢r(shí)間周二發(fā)布了18條安全警告,解決了影響其產(chǎn)品的總共50多個(gè)漏洞。供應(yīng)商提供了補(bǔ)丁、緩解措施和一般安全建議,以降低遭遇攻擊風(fēng)險(xiǎn)。

  西門子

  工業(yè)巨頭西門子當(dāng)?shù)貢r(shí)間8月10日發(fā)布了2021年8月補(bǔ)丁周的10個(gè)新安全警告,它們總共涵蓋了32個(gè)漏洞。

  根據(jù)他們指定的嚴(yán)重程度,最重要的建議是DNS相關(guān)漏洞“NAME:WRECK”對公司SGT工業(yè)燃?xì)廨啓C(jī)的影響。這已經(jīng)不是西門子第一次就NAME:WRECK缺陷對其產(chǎn)品的影響發(fā)布安全咨詢建議了。

  西門子的另一項(xiàng)咨詢建議描述了其SIMATIC CP 1543-1和CP 1545-1設(shè)備的ProFTPD組件中的幾個(gè)嚴(yán)重漏洞。這些安全漏洞允許攻擊者遠(yuǎn)程獲取敏感信息或執(zhí)行任意代碼。

  這家德國工業(yè)巨頭的SIMATIC S7-1200PLC缺少認(rèn)證的缺陷被評為高級別。攻擊者可以利用該漏洞繞過認(rèn)證,將任意程序下載到PLC中。

  一份描述JT2Go和Teamcenter Visualization中的漏洞的建議涵蓋了7個(gè)可用于DoS攻擊、信息泄露或遠(yuǎn)程代碼執(zhí)行的漏洞。它們的利用包括讓目標(biāo)用戶打開一個(gè)專門制作的文件。

  針對JT2Go和Teamcenter Visualization的單獨(dú)建議描述了兩個(gè)嚴(yán)重程度較高的缺陷,它們可能導(dǎo)致DoS或任意代碼執(zhí)行,以及一個(gè)中度嚴(yán)重程度較高的問題,它們可能導(dǎo)致信息泄露。針對這些產(chǎn)品的警告通常針對許多cve,因?yàn)槿毕菔窍嗨频模鼈兪鞘褂貌煌奈募袷接|發(fā)的。

  另一份涵蓋了許多CVE(準(zhǔn)確地說是十幾個(gè))的咨詢建議,描述了英特爾產(chǎn)品中的漏洞對西門子工業(yè)系統(tǒng)的影響。西門子已經(jīng)發(fā)布了幾個(gè)受影響產(chǎn)品的更新,并正在為其余產(chǎn)品開發(fā)BIOS補(bǔ)丁。

  在Solid Edge產(chǎn)品中,西門子修補(bǔ)了兩個(gè)高度嚴(yán)重的代碼執(zhí)行漏洞,用戶可以利用這兩個(gè)漏洞打開專門制作的文件。

  該公司解決的最后一個(gè)高級別缺陷是影響SINEC NMS(網(wǎng)絡(luò)管理系統(tǒng))的操作系統(tǒng)命令注入問題。然而,利用需要管理權(quán)限。

  西門子是工業(yè)控制系統(tǒng)漏洞的大戶,2020全年共被披露有CVE編號漏洞101個(gè),2021年截止目前已披露CVE編號漏洞176個(gè)(美國NVD漏洞庫數(shù)據(jù)),基本上是漏洞數(shù)量的排行老大。

  施耐德電氣

  施耐德電氣(Schneider Electric)當(dāng)?shù)貢r(shí)間8月10日發(fā)布了八份新的安全警告,涵蓋了總共25個(gè)漏洞。

  這家工業(yè)巨頭發(fā)布的其中兩份警告,描述Windows漏洞對其NTZ Mekhanotronika Rus控制面板的影響。一個(gè)建議是針對HTTP協(xié)議棧遠(yuǎn)程代碼執(zhí)行漏洞,微軟在5月修補(bǔ)了該漏洞;第二個(gè)建議是針對與Windows Print Spooler服務(wù)相關(guān)的兩個(gè)問題,包括臭名昭著的PrintNightmare漏洞。

  另一份報(bào)告描述了使用CODESYS工業(yè)自動化軟件帶來的三個(gè)嚴(yán)重問題。這些缺陷影響了施耐德和其他幾家主要供應(yīng)商的工業(yè)控制系統(tǒng)(ICS)。

  此外,還對可能導(dǎo)致DoS或未經(jīng)授權(quán)訪問的Harmony HMI漏洞、Pro-face GP-Pro EX HMI屏幕編輯器和邏輯編程軟件中的特權(quán)提升問題以及AccuSine電源穩(wěn)定產(chǎn)品中的信息泄露漏洞進(jìn)行了高級別評級。

  施耐德還發(fā)布了一份關(guān)于影響AT&T實(shí)驗(yàn)室壓縮機(jī)(XMilI)和解壓器(XDemill)公用設(shè)施的十幾個(gè)漏洞的建議,這些漏洞用于該公司的EcoStruxure和SCADAPack產(chǎn)品。AT&T實(shí)驗(yàn)室不再支持受影響的軟件,因此供應(yīng)商不會發(fā)布補(bǔ)丁,但施耐德確實(shí)計(jì)劃在未來自己的產(chǎn)品中解決這個(gè)問題。思科Talos的研究人員發(fā)現(xiàn)了這些漏洞,并披露了每個(gè)漏洞的技術(shù)細(xì)節(jié)。

  施耐德電器2020年共被披露CVE編號的漏洞88個(gè)(美國國家漏洞庫NVD數(shù)據(jù))。2021年截止目前已被披露66個(gè)CVE編號漏洞。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。