ICS 周二补丁:西门子、施耐德电气修复 50 个漏洞

西门子和施耐德电气周二发布了总共 9 个新的安全公告，解决了影响其工业产品的总共 50 个漏洞。

西门子

西门子发布了五份新公告，告知客户针对 40 多个漏洞的补丁的可用性。

在其 Simatic CN 4100 通信系统中，西门子修补了一个可用于获得管理员访问权限并完全控制设备的关键问题，以及一个可允许攻击者绕过网络隔离的高严重性错误。

在 Ruggedcom ROX 产品中，这家工业巨头修复了 21 个漏洞，其中包括可用于获取信息、执行任意命令或代码、导致 DoS 条件或通过 CSRF 攻击执行任意操作的漏洞。大多数漏洞的严重性评级为“严重”或“高”，其中一些安全漏洞会影响第三方组件。

Simatic MV500 光学阅读器（包括其 Web 服务器和第三方组件）中的十多个漏洞（包括严重和高严重性错误）已得到解决。利用该漏洞可能会导致 DoS 或信息泄露。

针对 Tecnomatix 工厂仿真软件中的六个高严重性问题还发布了补丁。它们允许攻击者通过让目标用户打开特制文件来使应用程序崩溃或潜在地执行任意代码。

西门子还解决了 SiPass 访问控制系统中的严重 DoS 问题。

施耐德电气

施耐德电气发布了四份新公告。它们涵盖了该公司产品特有的六个漏洞以及影响第三方组件（Codesys 运行时系统 V3 通信服务器）的十多个缺陷。

Codesys 缺陷影响 PacDrive 和 Modicon 控制器、Harmony HMI 以及 EcoStruxure Machine Expert 中嵌入的 SoftSPS 仿真运行时。利用安全漏洞可能会导致 DoS 攻击，并可能导致远程代码执行。

在 StruxureWare Data Center Expert (DCE) 监控软件中，Schneider 修复了两个高严重性和两个中度严重性问题，这些问题可能导致未经授权的访问或远程代码执行。

传感器的 Accutech Manager 应用程序中的一个高严重性缺陷已得到修复，EcoStruxure OPC UA Server Expert 产品中的一个中等严重性信息泄露问题已得到修复。

施耐德电气和西门子能源公司最近确认，在利用 MOVEit 零日漏洞的活动中， Cl0p 勒索软件组织已成为目标。