Objavljeni su Patch Tuesday savjeti Siemensa i Schneider Electrica za septembar 2023. godine.
Siemens
Siemens je objavio sedam novih savjeta koji pokrivaju ukupno 45 ranjivosti koje utiču na industrijske proizvode kompanije.
Jedan od savjeta opisuje CVE-2023-3935, kritičnu ranjivost koja utiče na tehnologiju licenciranja i zaštite softvera CodeMeter kompanije Wibu Systems, koju koristi nekoliko Siemens proizvoda, uključujući PSS, SIMATIC, SIMIT, SINEC i SINEMA.
Grešku može iskoristiti udaljeni, neautorizovani haker za proizvoljno izvršenje koda ako je CodeMeter Runtime konfigurisan kao server. Ako je CodeMeter Runtime konfigurisan kao klijent, greška može dozvoliti autentifikovanom lokalnom hakeru da eskalira privilegije u root.
QMS Automotive je pod uticajem 10 ranjivosti srednjeg i visokog stepena, uključujući one koje dozvoljavaju otmicu sesije, otpremanje malicioznih datoteka, izloženost informacija, DoS napade i proizvoljno izvršavanje koda.
Na familiju proizvoda RUGGEDCOM APE1808 utiče skoro dva tuceta ranjivosti srednjeg i visokog stepena ozbiljnosti koje utiču na BIOS koje obezbeđuje Insyde.
Parasolid, Teamcenter Visualization i JT2Go su pod uticajem ranjivosti u daljinskom izvršavanju koda koje se mogu iskoristiti korišćenjem posebno kreiranih datoteka.
Mnogi SIMATIC i SIPLUS proizvodi su pod uticajem ANSI C OPC UA SDK ranjivosti koja bi mogla dozvoliti neautorizovanom, udaljenom hakeru da izazove DoS stanje korišćenjem posebno kreiranog sertifikata.
Siemens je takođe obavestio kupce o uticaju ranjivosti Intel CPU-a pod nazivom Downfall. Kompanija radi na ispravkama za pogođene SIMATIC industrijske računare.
Schneider Electric
Schneider Electric je objavio samo jedan novi savjet, kako bi obavijestio kupce o ranjivosti visoke ozbiljnosti zakrpljenoj u svom proizvodu IGSS (Interactive Graphical SCADA System).
Greška, koju kompanija opisuje kao problem autentifikacije koji nedostaje, mogla bi “dozvoliti lokalnom hakeru da promijeni izvor ažuriranja, što bi potencijalno dovelo do udaljenog izvršavanja koda kada haker prisili ažuriranje koje sadrži maliciozni sadržaj”.
Izvor: SecurityWeek
