Industrijski giganti Siemens, Schneider Electric, Rockwell Automation i Aveva objavili su Patch Tuesday biltene u kojima korisnike obavještavaju o ranjivostima u svojim ICS/OT proizvodima.
Siemens je objavio šest novih biltena. Jedan od njih pokriva dvije ranjivosti u Comos softveru za inženjering postrojenja, uključujući kritičnu ranjivost za izvršavanje koda, kao i ranjivost visoke ozbiljnosti koja omogućava zaobilaženje bezbjednosnih provjera.
Ranjivosti su takođe zakrpljene u Siemens Solid Edge (udaljeni MitM, izvršavanje koda), Altair Grid Engine (izvršavanje koda), Logo! 8 BM (izvršavanje koda, DoS, mijenjanje podešavanja) i Sicam P850 (CSRF) proizvodima.
Rockwell Automation je 11. novembra objavio pet novih biltena, od kojih svaki pokriva ranjivosti visoke ozbiljnosti otkrivene u različitim proizvodima.
Kompanija je obavijestila korisnike svog Verve Asset Manager OT bezbjednosnog platforme da je proizvod pogođen ranjivošću visoke ozbiljnosti u kontroli pristupa, koja omogućava neovlašćenim korisnicima sa read-only privilegijama da manipulišu drugim korisničkim nalozima preko API-ja.
U Studio 5000 integrisanom okruženju za dizajn Logix 5000 kontrolera, Rockwell je zakrpio SSRF ranjivost koja izlaže NTLM hash-eve, kao i lokalnu ranjivost za izvršavanje koda.
Ranjivosti zaobilaženja MFA autentikacije i persistentni XSS zakrpljeni su u FactoryTalk DataMosaix Private Cloud platformi. Takođe, ranjivosti uzrokovane komponentama trećih strana zakrpljene su u SIS Workstation (izvršavanje koda) i FactoryTalk Policy Manager (DoS).
Aveva je u utorak objavila dva nova biltena. Jedan od njih opisuje persistentni XSS visoke ozbiljnosti koji se može iskoristiti za eskalaciju privilegija.
Drugi bilten pokriva ranjivost u Aveva Edge proizvodu koja omogućava napadaču sa read pristupom projektima i cache fajlovima da dobije korisničke lozinke brute-force tehnikom zbog slabih hash funkcija.
Ova ranjivost takođe utiče na Schneider Electric proizvode EcoStruxure Machine SCADA Expert i Pro-face BLUE Open Studio. Schneider je objavio dva nova Patch Tuesday biltena, a jedan od njih pokriva posledice ove ranjivosti.
Schneiderov drugi bilten opisuje ranjivosti visoke ozbiljnosti: path traversal, brute-force autentikacije i eskalaciju privilegija u PowerChute Serial Shutdown softveru za upravljanje UPS uređajima.
Moxa, ABB, Honeywell i Mitsubishi Electric nisu objavili biltene na Patch Tuesday, ali su prethodnih dana ipak informisali korisnike o zakrpama. Njemački VDE@CERT je takođe objavio dva nova biltena u proteklim danima.
Izvor: SecurityWeek