Siemens ve Schneider Electric, endüstriyel cihazlarını etkileyen 50 güvenlik açığını birlikte ele alan dokuz yeni güvenlik uyarısı yayınladı.
Son zamanlarda Schneider Electric ve Siemens Energy, Cl0p fidye yazılımı grubunun bir MOVEit sıfır gün güvenlik açığından yararlanan saldırısının hedefi olduklarını belirttiler.
.png
)
Siemens Yamaları
Siemens, 40’tan fazla güvenlik açığı için düzeltmelerin varlığı konusunda tüketicileri uyarmak için beş yeni öneri yayınladı.
Siemens, bir saldırganın ağ izolasyonunu aşmasına izin verebilecek ‘yüksek önem dereceli’ bir kusuru ve Simatic CN 4100 iletişim sistemindeki yönetici erişimi elde etmek ve bir cihazın tam kontrolünü ele geçirmek için kullanılabilecek ‘kritik’ bir kusuru düzeltti.
Şirket, Ruggedcom ROX ürünlerinde veri çalmak, rastgele komutlar veya kod çalıştırmak, bir DoS senaryosu oluşturmak veya CSRF saldırıları aracılığıyla keyfi faaliyetler gerçekleştirmek için kullanılabilecek olanlar da dahil olmak üzere 21 güvenlik açığını yamaladı.
Bu güvenlik kusurlarının çoğu ‘kritik’ veya ‘yüksek’ önem derecelerine sahiptir ve bazıları üçüncü taraf bileşenlerini etkiler.
Simatic MV500 optik okuyucularında, web sunucusunda ve üçüncü taraf bileşenlerinde, ‘kritik’ ve ‘yüksek önem dereceli’ dahil olmak üzere bir düzineden fazla güvenlik açığı; sorunlar giderildi. Bilgi ifşası veya DoS, istismardan kaynaklanabilir.
Tecnomatix Plant Simulation yazılımındaki altı ‘yüksek önem dereceli’ sorun için yamalar da yamalandı.
Hedeflenen kullanıcıyı özel hazırlanmış dosyaları açmaya ikna ederek, bir saldırgana uygulamayı çökertme veya belki de rasgele kod yürütme yeteneği sağlar.
Ek olarak Siemens, SiPass erişim kontrol sistemini etkileyen ciddi bir DoS sorununu düzeltti.
Schneider Electric Yamaları
Schneider Electric’ten dört yeni öneri var. Şirketin ürünlerindeki altı zayıflığın yanı sıra bir üçüncü şahıs bileşeni olan Codesys çalışma zamanı sistemi V3 iletişim sunucusunu etkileyen bir düzineden fazla sorunu ele alıyorlar.
Raporlar, PacDrive ve Modicon denetleyicilerinin, Harmony HMI’ların ve EcoStruxure Machine Expert ile entegre SoftSPS simülasyon çalışma zamanının Codesys zayıflıklarından etkilendiğini söylüyor. Güvenlik kusurlarından yararlanmak, uzaktan kod yürütme ve DoS ile sonuçlanabilir.
Schneider, StruxureWare Veri Merkezi Uzmanı (DCE) izleme yazılımında yetkisiz erişime veya uzaktan kod yürütmeye izin verebilecek iki yüksek önem dereceli ve iki orta önem dereceli kusuru düzeltti.
Ayrıca, EcoStruxure OPC UA Server Expert ürününde ‘orta düzeyde’ bir bilgi ifşası zayıflığı yamalanırken, Accutech Manager sensör uygulamasında yüksek düzeyde bir güvenlik açığı giderildi.