ICS-CERT poinformował o nowych podatnościach:
Producent: Siemens
Produkty: Moduł Siemens SIPROTEC 4, SIPROTEC Compact, narzędzie do obsługi i programowania urządzeń DIGSI 4, moduł EN100 Ethernet
Skutki wykorzystania podatności: przesłanie zmodyfikowanej konfiguracji urządzenia, która może nadpisać hasła dostępu lub zezwolić na przechwytywanie określonego ruchu sieciowego, który może zawierać hasła autoryzacyjne
Opis podatności: brak uwierzytelnienia dla funkcji krytycznej, niewystarczająca siła szyfrowania
Podatność:
- CVE-2018-4840 brak autoryzacji dla funkcji krytycznej
- CVE-2018-4839 niewystarczająca siła szyfrowania
Lista produktów których dotyczy podatność:
DIGSI 4: Wszystkie wersje wcześniejsze niż V4.92,
Moduł EN100 Ethernet w wersji IEC 61850: wszystkie wersje przed V4.30,
Moduł Ethernet EN100 PROFINET wariant IO: wszystkie wersje,
Moduł Ethernet EN100 Modbus TCP wariant: wszystkie wersje,
Moduł Ethernet EN100 DNP3 wariant: wszystkie wersje,
EN100 Moduł Ethernet Wersja IEC 104: wszystkie wersje,
SIPROTEC 4 7SJ66: wszystkie wersje wcześniejsze niż V4.30; dot. CVE-2018-4839,
SIPROTEC Compact 7SJ80: wszystkie wersje wcześniejsze niż V4.77; dot. CVE-2018-4839,
SIPROTEC Compact 7SK80: wszystkie wersje wcześniejsze niż V4.77; dot. CVE-2018-4839,
Inne przekaźniki SIPROTEC Compact: wszystkie wersje; dot. CVE-2018-4839, oraz
Inne przekaźniki SIPROTEC 4: wszystkie wersje; dot. CVE-2018-4839.
Aktualizacje i dodatkowe informacje dostępne są na stronie: https://ics-cert.us-cert.gov/advisories/ICSA-18-067-01
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny