A Siemens e a Schneider Electric divulgaram na terça-feira um total de nove novos avisos de segurança abordando um total de 50 vulnerabilidades que afetam seus produtos industriais.
siemens
siemens lançou cinco novos avisos para informar os clientes sobre a disponibilidade de patches para mais de 40 vulnerabilidades.
Em seu sistema de comunicação Simatic CN 4100, a Siemens corrigiu um problema crítico que pode ser explorado para obter acesso de administrador e assumir o controle total de um dispositivo, bem como um bug de alta gravidade que pode permitir que um invasor contorne o isolamento da rede.
Nos produtos Ruggedcom ROX, a gigante industrial corrigiu 21 vulnerabilidades, incluindo aquelas que podem ser exploradas para obter informações, executar comandos ou códigos arbitrários, causar uma condição DoS ou executar ações arbitrárias por meio de ataques CSRF. A maioria tem classificações de gravidade ‘críticas’ ou ‘altas’, e algumas dessas falhas de segurança afetam componentes de terceiros.
Mais de uma dúzia de vulnerabilidades, incluindo bugs críticos e de alta gravidade, foram abordadas nos leitores ópticos Simatic MV500, inclusive em seu servidor web e componentes de terceiros. A exploração pode levar a DoS ou divulgação de informações.
Também foram lançados patches para seis problemas de alta gravidade no software Tecnomatix Plant Simulation. Eles permitem que um invasor trave o aplicativo ou potencialmente execute código arbitrário fazendo com que o usuário-alvo abra arquivos especialmente criados.
A Siemens também resolveu um problema de DoS de alta gravidade no sistema de controle de acesso SiPass.
Schneider Electric
Schneider Electric lançou quatro novos avisos. Eles abrangem seis vulnerabilidades específicas dos produtos da empresa e mais de uma dúzia de falhas que afetam um componente de terceiros, o servidor de comunicação Codesys runtime system V3.
As falhas da Codesys afetam os controladores PacDrive e Modicon, HMIs Harmony e o tempo de execução de simulação SoftSPS incorporado no EcoStruxure Machine Expert. A exploração das falhas de segurança pode levar a DoS e possivelmente à execução remota de código.
No software de monitoramento StruxureWare Data Center Expert (DCE), Schneider corrigiu dois problemas de gravidade alta e dois de gravidade média que podem levar a acesso não autorizado ou execução remota de código.
Uma falha de alta gravidade foi corrigida no aplicativo Accutech Manager para sensores, e um problema de divulgação de informações de média gravidade foi corrigido no produto EcoStruxure OPC UA Server Expert.
A Schneider Electric e a Siemens Energy confirmaram recentemente que foram alvo do grupo de ransomware Cl0p na campanha que explora uma vulnerabilidade de dia zero do MOVEit.