SIEMENS wydał comiesięczny pakiet aktualizacji dla swoich produktów.

Nowe podatności:

CVE-2019-10942 – umożliwia atakującemu z dostępem do sieci wpływać na dostępność podatnych urządzeń.

Dotyczy:

  • SCALANCE X-200, wszystkie wersje
  • SCALANCE X-200IRT, wszystkie wersje
  • SCALANCE X-200RNA, wszystkie wersje

CVE-2019-10929 – atak typu “Man-in-the-Middle” umożliwia atakującemu modyfikacje ruchu sieciowego na porcie 102 / tcp dzięki właściwościom w obliczeniach zastosowanych do ochrony integralności.

CVE-2019-10943 – atakujący z dostępem sieciowym do portu 102 / tcp może dokonać modyfikacji w sterownikach PLC.

Dotyczy:

  • SIMATIC ET 200SP Open Controller CPU 1515SP PC, wszystkie wersje
  • SIMATIC ET 200SP Open Controller CPU 1515SP PC2, wszystkie wersje
  • SIMATIC S7-1200 CPU family, wersja 4.0 i późniejsze
  • SIMATIC S7-1500 CPU family, wszystkie wersje
  • SIMATIC S7-1500 Software Controller, wszystkie wersje
  • SIMATIC S7-PLCSIM Advanced, wszystkie wersje

CVE-2019-6568 – atakujący może spowodować warunek odmowy usługi (DoS), który prowadzi do ponownego uruchomienia serwera WWW urządzenia.

Dotyczy:

  • SINAMICS GH150 V4.7/V4.8, wszystkie wersje
  • SINAMICS GL150 V4.7/V4.8, wszystkie wersje
  • SINAMICS GM150 V4.7/V4.8, wszystkie wersje
  • SINAMICS SL150 V4.7/V4.8, wszystkie wersje
  • SINAMICS SM120 V4.7/V4.8, wszystkie wersje
  • SINAMICS SM150 V4.8, wszystkie wersje

CVE-2019-10927 – uwierzytelniony atakujący z dostępem sieciowym do portu 22 / tcp może wywołać stan odmowy usługi (DoS).

CVE-2019-10928 – uwierzytelniony atakujący z dostępem sieciowym do portu 22 / tcp i fizycznym dostępem do urządzenia, może wykonać dowolne polecenie.

Dotyczy:

  • SCALANCE SC-600, wersja 2.0
  • SCALANCE XB-200, wersja 4.1
  • SCALANCE XC-200, wersja 4.1
  • SCALANCE XF-200BA, wersja 4.1
  • SCALANCE XP-200, wersja 4.1
  • SCALANCE XR-300WG, wersja 4.1

Częściowo zaktualizowane podatności:

CVE-2019-10935 – uwierzytelniony atakujący z dostępem do sieci i aplikacji WinCC DataMonitor może przesyłać dowolny kod ASPX.

Naprawione dla:

  • SIMATIC WinCC V7.3
  • SIMATIC PCS 7 V8.1
  • SIMATIC WinCC Runtime Professional V14

CVE-2019-10933 – serwer WWW może umożliwić atak typu “cross-site scripting” poprzez użytkowników oszukanych złośliwym linkiem.

Naprawione dla:

  • Spectrum Power 5

Więcej informacji: https://new.siemens.com/global/en/products/services/cert.html#ContactInformation