cybersecurity

Siemens termékek OpenSSL-t használva

Forrás: cisa.gov 13 perc olvasás

Megosztás

Siemens termékek OpenSSL-t használva

Összefoglalót olvas. A teljes tartalom itt érhető el: cisa.gov.

Az OpenSSL közzétett egy verem alapú puffertúlcsordulási sebezhetőséget, amely lehetővé teszi egy távoli támadó számára, hogy szolgáltatásmegtagadást (DoS) okozzon, vagy potenciálisan távoli kód végrehajtást engedjen. A Siemens új verziókat adott ki több érintett termékhez, és javasolja a legfrissebb verziókra való frissítést. A Siemens további javító verziókat készít elő, és konkrét ellenintézkedéseket javasol olyan termékekhez, ahol a javítások nem állnak rendelkezésre, vagy még nem érhetők el. Az alábbi Siemens termékek, amelyek az OpenSSL-t használják, érintettek: AI Lightweight Inference Server verzió: mind (CVE-2025-15467) Connector for Azure verzió: intdot/<1.8.0 (CVE-2025-15467) Databus verzió: intdot/<3.3.2 (CVE-2025-15467) HiMed Cockpit verzió: mind (CVE-2025-15467) RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) verzió: mind (CVE-2025-15467) RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) verzió: mind (CVE-2025-15467) SCALANCE LPE9403 (6GK5998-3GS00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE LPE9413 (6GK5998-3GS01-2AC2) verzió: mind (CVE-2025-15467) SCALANCE LPE9433 (6GK5998-3GS11-2AC2) verzió: mind (CVE-2025-15467) SCALANCE M804PB (6GK5804-0AP00-2AA2) verzió: mind (CVE-2025-15467) SCALANCE M812-1 ADSL-Router család verzió: mind (CVE-2025-15467) SCALANCE M816-1 ADSL-Router család verzió: mind (CVE-2025-15467) SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) verzió: mind (CVE-2025-15467) SCALANCE M874-2 (6GK5874-2AA00-2AA2) verzió: mind (CVE-2025-15467) SCALANCE M874-3 (6GK5874-3AA00-2AA2) verzió: mind (CVE-2025-15467) SCALANCE M874-3 3G-Router (CN) (6GK5874-3AA00-2FA2) verzió: mind (CVE-2025-15467) SCALANCE M876-3 (6GK5876-3AA02-2BA2) verzió: mind (CVE-2025-15467) SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) verzió: mind (CVE-2025-15467) SCALANCE M876-4 (6GK5876-4AA10-2BA2) verzió: mind (CVE-2025-15467) SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) verzió: mind (CVE-2025-15467) SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) verzió: mind (CVE-2025-15467) SCALANCE MUB852-1 (A1) (6GK5852-1EA10-1AA1) verzió: mind (CVE-2025-15467) SCALANCE MUB852-1 (B1) (6GK5852-1EA10-1BA1) verzió: mind (CVE-2025-15467) SCALANCE MUM853-1 (A1) (6GK5853-2EA10-2AA1) verzió: mind (CVE-2025-15467) SCALANCE MUM853-1 (B1) (6GK5853-2EA10-2BA1) verzió: mind (CVE-2025-15467) SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) verzió: mind (CVE-2025-15467) SCALANCE MUM856-1 (A1) (6GK5856-2EA10-3AA1) verzió: mind (CVE-2025-15467) SCALANCE MUM856-1 (B1) (6GK5856-2EA10-3BA1) verzió: mind (CVE-2025-15467) SCALANCE MUM856-1 (CN) (6GK5856-2EA00-3FA1) verzió: mind (CVE-2025-15467) SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) verzió: mind (CVE-2025-15467) SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) verzió: mind (CVE-2025-15467) SCALANCE S615 EEC LAN-Router (6GK5615-0AA01-2AA2) verzió: mind (CVE-2025-15467) SCALANCE S615 LAN-Router (6GK5615-0AA00-2AA2) verzió: mind (CVE-2025-15467) SCALANCE SC622-2C (6GK5622-2GS00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE SC626-2C (6GK5626-2GS00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE SC632-2C (6GK5632-2GS00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE SC636-2C (6GK5636-2GS00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE SC642-2C (6GK5642-2GS00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE SC646-2C (6GK5646-2GS00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE WAB762-1 (6GK5762-1AJ00-6AA0) verzió: mind (CVE-2025-15467) SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) verzió: mind (CVE-2025-15467) SCALANCE WAM763-1 (ME) (6GK5763-1AL00-7DC0) verzió: mind (CVE-2025-15467) SCALANCE WAM763-1 (US) (6GK5763-1AL00-7DB0) verzió: mind (CVE-2025-15467) SCALANCE WAM766-1 (6GK5766-1GE00-7DA0) verzió: mind (CVE-2025-15467) SCALANCE WAM766-1 (ME) (6GK5766-1GE00-7DC0) verzió: mind (CVE-2025-15467) SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) verzió: mind (CVE-2025-15467) SCALANCE WAM766-1 EEC (6GK5766-1GE00-7TA0) verzió: mind (CVE-2025-15467) SCALANCE WAM766-1 EEC (ME) (6GK5766-1GE00-7TC0) verzió: mind (CVE-2025-15467) SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) verzió: mind (CVE-2025-15467) SCALANCE WUB762-1 (6GK5762-1AJ00-1AA0) verzió: mind (CVE-2025-15467) SCALANCE WUB762-1 iFeatures (6GK5762-1AJ00-2AA0) verzió: mind (CVE-2025-15467) SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) verzió: mind (CVE-2025-15467) SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) verzió: mind (CVE-2025-15467) SCALANCE WUM763-1 (US) (6GK5763-1AL00-3AB0) verzió: mind (CVE-2025-15467) SCALANCE WUM763-1 (US) (6GK5763-1AL00-3DB0) verzió: mind (CVE-2025-15467) SCALANCE WUM766-1 (6GK5766-1GE00-3DA0) verzió: mind (CVE-2025-15467) SCALANCE WUM766-1 (ME) (6GK5766-1GE00-3DC0) verzió: mind (CVE-2025-15467) SCALANCE WUM766-1 (USA) (6GK5766-1GE00-3DB0) verzió: mind (CVE-2025-15467) SCALANCE XC316-8 (6GK5324-8TS00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE XC324-4 (6GK5328-4TS00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE XC324-4 EEC (6GK5328-4TS00-2EC2) verzió: mind (CVE-2025-15467) SCALANCE XC332 (6GK5332-0GA00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE XC416-8 (6GK5424-8TR00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE XC424-4 (6GK5428-4TR00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE XC432 (6GK5432-0GR00-2AC2) verzió: mind (CVE-2025-15467) SCALANCE XR302-32 (6GK5334-5TS00-2AR3) verzió: mind (CVE-2025-15467) SCALANCE XR302-32 (6GK5334-5TS00-3AR3) verzió: mind (CVE-2025-15467) SCALANCE XR302-32 (6GK5334-5TS00-4AR3) verzió: mind (CVE-2025-15467) SCALANCE XR322-12 (6GK5334-3TS00-2AR3) verzió: mind (CVE-2025-15467) SCALANCE XR322-12 (6GK5334-3TS00-3AR3) verzió: mind (CVE-2025-15467) SCALANCE XR322-12 (6GK5334-3TS00-4AR3) verzió: mind (CVE-2025-15467) SCALANCE XR326-8 (6GK5334-2TS00-2AR3) verzió: mind (CVE-2025-15467) SCALANCE XR326-8 (6GK5334-2TS00-3AR3) verzió: mind (CVE-2025-15467) SCALANCE XR326-8 (6GK5334-2TS00-4AR3) verzió: mind (CVE-2025-15467) SCALANCE XR326-8 EEC (6GK5334-2TS00-2ER3) verzió: mind (CVE-2025-15467) SCALANCE XR502-32 (6GK5534-5TR00-2AR3) verzió: mind (CVE-2025-15467) SCALANCE XR502-32 (6GK5534-5TR00-3AR3) verzió: mind (CVE-2025-15467) SCALANCE XR502-32 (6GK5534-5TR00-4AR3) verzió: mind (CVE-2025-15467) SCALANCE XR522-12 (6GK5534-3TR00-2AR3) verzió: mind (CVE-2025-15467) SCALANCE XR522-12 (6GK5534-3TR00-3AR3) verzió: mind (CVE-2025-15467) SCALANCE XR522-12 (6GK5534-3TR00-4AR3) verzió: mind (CVE-2025-15467) SCALANCE XR524-8WG (6GK5532-2SR00-2AR3) verzió: mind (CVE-2025-15467) SCALANCE XR524-8WG (6GK5532-2SR00-2RR3) verzió: mind (CVE-2025-15467) SCALANCE XR524-8WG (6GK5532-2SR00-3AR3) verzió: mind (CVE-2025-15467) SCALANCE XR524-8WG (6GK5532-2SR00-3RR3) verzió: mind (CVE-2025-15467) SCALANCE XR526-8 (6GK5534-2TR00-2AR3) verzió: mind (CVE-2025-15467) SCALANCE XR526-8 (6GK5534-2TR00-3AR3) verzió: mind (CVE-2025-15467) SCALANCE XR526-8 (6GK5534-2TR00-4AR3) verzió: mind (CVE-2025-15467) Shopfloor IT Suite verzió: mind (CVE-2025-15467) SIDIS Prime verzió: intdot/>=4.0.700 (CVE-2025-15467) Siemens OPC UA Modelling Editor (SiOME) verzió: mind (CVE-2025-15467) SIMATIC Comfort/Mobile RT verzió: mind (CVE-2025-15467) SIMATIC eaSie Core Package (6DL5424-0AX00-0AV8) verzió: mind (CVE-2025-15467) SIMATIC eaSie PCS 7 Skill Package (6DL5424-0BX00-0AV8) verzió: mind (CVE-2025-15467) SIMATIC HMI Basic Panels verzió: intdot/<17.0.9 (CVE-2025-15467) SIMATIC HMI Comfort Panels verzió: intdot/<17.0.9 (CVE-2025-15467) SIMATIC HMI Mobile Panels verzió: intdot/<17.0.9 (CVE-2025-15467) SIMATIC IOT2050 (6ES7647-0BA00-1YA2) verzió: mind (CVE-2025-15467) SIMATIC IPC BX-21A verzió: mind (CVE-2025-15467) SIMATIC IPC MD-57A verzió: mind (CVE-2025-15467) SIMATIC IPC ORCLA verzió: mind (CVE-2025-15467) SIMATIC PDM V9.3 verzió: mind (CVE-2025-15467) SIMATIC RTLS Locating Manager (6GT2780-0DA00) verzió: mind (CVE-2025-15467) SIMATIC RTLS Locating Manager (6GT2780-0DA10) verzió: mind (CVE-2025-15467) SIMATIC RTLS Locating Manager (6GT2780-0DA20) verzió: mind (CVE-2025-15467) SIMATIC RTLS Locating Manager (6GT2780-0DA30) verzió: mind (CVE-2025-15467) SIMATIC RTLS Locating Manager (6GT2780-1EA10) verzió: mind (CVE-2025-15467) SIMATIC RTLS Locating Manager (6GT2780-1EA20) verzió: mind (CVE-2025-15467) SIMATIC RTLS Locating Manager (6GT2780-1EA30) verzió: mind (CVE-2025-15467) SIMATIC STEP 7 V5 verzió: intdot/<5.7.4 (CVE-2025-15467) SIMATIC Target verzió: mind (CVE-2025-15467) SIMATIC WinCC OA V3.19 verzió: intdot/<3.19.024 (CVE-2025-15467) SIMATIC WinCC OA V3.20 verzió: intdot/<3.20.012 (CVE-2025-15467) SIMATIC WinCC OA V3.21 verzió: intdot/<3.21.02 (CVE-2025-15467) SIMATIC WinCC Runtime Advanced V17 verzió: intdot/<17.0.9 (CVE-2025-15467) SIMATIC WinCC Unified Sequence verzió: intdot/<21 (CVE-2025-15467) SIMATIC WinCC V7.5 verzió: mind (CVE-2025-15467) SIMATIC WinCC V8.0 verzió: mind (CVE-2025-15467) SIMATIC WinCC V8.1 verzió: mind (CVE-2025-15467) SIMOTION OACAMGEN (6AU1820-3EA20-0AB0) verzió: mind (CVE-2025-15467) SIMOVE Fleetmanager V3.1 verzió: mind (CVE-2025-15467) SIMOVE Fleetmanager V3.2 verzió: mind (CVE-2025-15467) SIMOVE Fleetmanager V3.3 verzió: mind (CVE-2025-15467) SINAMICS G200 verzió: intdot/>=6.3 (CVE-2025-15467) SINAMICS G220 verzió: intdot/>=6.3 (CVE-2025-15467) SINAMICS S200 verzió: intdot/>=6.3 (CVE-2025-15467) SINAMICS S210 verzió: intdot/>=6.3 (CVE-2025-15467) SINAMICS S220 verzió: intdot/>=6.3 (CVE-2025-15467) SINEC INS verzió: intdot/<1.0.2.5 (CVE-2025-15467) SINEC NMS verzió: mind (CVE-2025-15467) SINEC Security Monitor verzió: mind (CVE-2025-15467) SINUMERIK Access MyMachine /OPC UA verzió: mind (CVE-2025-15467) SIPLANT verzió: mind (CVE-2025-15467) SITRANS ASM IQ verzió: mind (CVE-2025-15467) SITRANS Soft Sensor Engine IQ (SITRANS SSE IQ) verzió: mind (CVE-2025-15467) Felhasználói Kezelő Komponens (UMC) verzió: intdot/<2.15.3.0 (CVE-2025-15467) Visual Inspection Cockpit verzió: mind (CVE-2025-15467) CVSS Szállító Berendezés Sebezhetőségek v3 9.8 Siemens Siemens termékek OpenSSL-t használva Kihasználható Ígéreti Háttérkritikus Infrastruktúra Sektorok: Kritikus Gyártás, Közlekedési Rendszerek, Energia, Egészségügy és Közpublici Egészség, Pénzügyi Szolgáltatások, Kormányzati Szolgáltatások és Létesítmények Országok/Területek Bevezetve: Világszerte Cég központja: Németország Sebezhetőségek Kiterjesztései Összes + CVE-2025-15467 Probléma összefoglaló: A CMS AuthEnvelopedData üzenet feldolgozása rosszul megformált AEAD paraméterekkel verem puffertúlcsordulást okozhat. Hatás összefoglaló: A verem puffertúlcsordulás összeomláshoz vezethet, ami Szolgáltatásmegtagadást okoz, vagy potenciálisan távoli kód végrehajtást eredményez. A CMS AuthEnvelopedData struktúrák feldolgozása során, amelyek AEAD titkosítókat használnak, mint például AES-GCM, az ASN.1 paraméterekben kódolt IV (Inicializáló Vektor) másolásra kerül egy rögzített méretű verem puffertulajdonba anélkül, hogy ellenőriznék, hogy a hossza illeszkedik-e a rendeltetési helyhez. A támadó egy megformált CMS üzenetet adhat meg túlméretezett IV-vel, ami verem alapú túltöltést okoz, mielőtt bármilyen hitelesítés vagy címke ellenőrzés megtörténik. Azok az alkalmazások és szolgáltatások, amelyek nem megbízható CMS vagy PKCS#7 tartalmat dolgoznak fel AEAD titkosítókkal (pl. S/MIME AuthEnvelopedData AES-GCM-mel), sebezhetők. Mivel a túlcsordulás a hitelesítés előtt következik be, érvényes kulcsmateriel nem szükséges ahhoz, hogy azt aktiválják. Míg a távoli kód végrehajtásának kihasználhatósága a platformtól és a szerszámkészlet enyhítéseitől függ, a verem alapú írásos primitív súlyos kockázatot jelent. A 3.6, 3.5, 3.4, 3.3 és 3.0 FIPS modulokat nem érinti ez a probléma, mivel a CMS végrehajtás kívül esik az OpenSSL FIPS modul határain. Az OpenSSL 3.6, 3.5, 3.4, 3.3 és 3.0 sebezhetők e probléma miatt. Az OpenSSL 1.1.1 és 1.0.2 nem érintett e problémától. Tekintse meg a CVE részleteket Érintett termékek Siemens termékek az OpenSSL-t használják Szállító: Siemens Termék verzió: AI Lightweight Inference Server, Connector for Azure, Databus, HiMed Cockpit, RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2), RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2), SCALANCE LPE9403 (6GK5998-3GS00-2AC2), SCALANCE LPE9413 (6GK5998-3GS01-2AC2), SCALANCE LPE9433 (6GK5998-3GS11-2AC2), SCALANCE M804PB (6GK5804-0AP00-2AA2), SCALANCE M812-1 ADSL-Router család, SCALANCE M816-1 ADSL-Router család, SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2), SCALANCE M874-2 (6GK5874-2AA00-2AA2), SCALANCE M874-3 (6GK5874-3AA00-2AA2), SCALANCE M874-3 3G-Router (CN) (6GK5874-3AA00-2FA2), SCALANCE M876-3 (6GK5876-3AA02-2BA2), SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2), SCALANCE M876-4 (6GK5876-4AA10-2BA2), SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2), SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2), SCALANCE MUB852-1 (A1) (6GK5852-1EA10-1AA1), SCALANCE MUB852-1 (B1) (6GK5852-1EA10-1BA1), SCALANCE MUM853-1 (A1) (6GK5853-2EA10-2AA1), SCALANCE MUM853-1 (B1) (6GK5853-2EA10-2BA1), SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1), SCALANCE MUM856-1 (A1) (6GK5856-2EA10-3AA1), SCALANCE MUM856-1 (B1) (6GK5856-2EA10-3BA1), SCALANCE MUM856-1 (CN) (6GK5856-2EA00-3FA1), SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1), SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1), SCALANCE S615 EEC LAN-Router (6GK5615-0AA01-2AA2), SCALANCE S615 LAN-Router (6GK5615-0AA00-2AA2), SCALANCE SC622-2C (6GK5622-2GS00-2AC2), SCALANCE SC626-2C (6GK5626-2GS00-2AC2), SCALANCE SC632-2C (6GK5632-2GS00-2AC2), SCALANCE SC636-2C (6GK5636-2GS00-2AC2), SCALANCE SC642-2C (6GK5642-2GS00-2AC2), SCALANCE SC646-2C (6GK5646-2GS00-2AC2), SCALANCE WAB762-1 (6GK5762-1AJ00-6AA0), SCALANCE WAM763-1 (6GK5763-1AL00-7DA0), SCALANCE WAM763-1 (ME) (6GK5763-1AL00-7DC0), SCALANCE WAM763-1 (US) (6GK5763-1AL00-7DB0), SCALANCE WAM766-1 (6GK5766-1GE00-7DA0), SCALANCE WAM766-1 (ME) (6GK5766-1GE00-7DC0), SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0), SCALANCE WAM766-1 EEC (6GK5766-1GE00-7TA0), SCALANCE WAM766-1 EEC (ME) (6GK5766-1GE00-7TC0), SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0), SCALANCE WUB762-1 (6GK5762-1AJ00-1AA0), SCALANCE WUB762-1 iFeatures (6GK5762-1AJ00-2AA0), SCALANCE WUM763-1 (6GK5763-1AL00-3AA0), SCALANCE WUM763-1 (6GK5763-1AL00-3DA0), SCALANCE WUM763-1 (US) (6GK5763-1AL00-3AB0), SCALANCE WUM763-1 (US) (6GK5763-1AL00-3DB0), SCALANCE WUM766-1 (6GK5766-1GE00-3DA0), SCALANCE WUM766-1 (ME) (6GK5766-1GE00-3DC0), SCALANCE WUM766-1 (USA) (6GK5766-1GE00-3DB0), SCALANCE XC316-8 (6GK5324-8TS00-2AC2), SCALANCE XC324-4 (6GK5328-4TS00-2AC2), SCALANCE XC324-4 EEC (6GK5328-4TS00-2EC2), SCALANCE XC332 (6GK5332-0GA00-2AC2), SCALANCE XC416-8 (6GK5424-8TR00-2AC2), SCALANCE XC424-4 (6GK5428-4TR00-2AC2), SCALANCE XC432 (6GK5432-0GR00-2AC2), SCALANCE XR302-32 (6GK5334-5TS00-2AR3), SCALANCE XR302-32 (6GK5334-5TS00-3AR3), SCALANCE XR302-32 (6GK5334-5TS00-4AR3), SCALANCE XR322-12 (6GK5334-3TS00-2AR3), SCALANCE XR322-12 (6GK5334-3TS00-3AR3), SCALANCE XR322-12 (6GK5334-3TS00-4AR3), SCALANCE XR326-8 (6GK5334-2TS00-2AR3), SCALANCE XR326-8 (6GK5334-2TS00-3AR3), SCALANCE XR326-8 (6GK5334-2TS00-4AR3), SCALANCE XR326-8 EEC (6GK5334-2TS00-2ER3), SCALANCE XR502-32 (6GK5534-5TR00-2AR3), SCALANCE XR502-32 (6GK5534-5TR00-3AR3), SCALANCE XR502-32 (6GK5534-5TR00-4AR3), SCALANCE XR522-12 (6GK5534-3TR00-2AR3), SCALANCE XR522-12 (6GK5534-3TR00-3AR3), SCALANCE XR522-12 (6GK5534-3TR00-4AR3), SCALANCE XR524-8WG (6GK5532-2SR00-2AR3), SCALANCE XR524-8WG (6GK5532-2SR00-2RR3), SCALANCE XR524-8WG (6GK5532-2SR00-3AR3), SCALANCE XR524-8WG (6GK5532-2SR00-3RR3), SCALANCE XR526-8 (6GK5534-2TR00-2AR3), SCALANCE XR526-8 (6GK5534-2TR00-3AR3), SCALANCE XR526-8 (6GK5534-2TR00-4AR3), Shopfloor IT Suite, SIDIS Prime, Siemens OPC UA Modelling Editor (SiOME), SIMATIC Comfort/Mobile RT, SIMATIC eaSie Core Package (6DL5424-0AX00-0AV8), SIMATIC eaSie PCS 7 Skill Package (6DL5424-0BX00-0AV8), SIMATIC HMI Basic Panels, SIMATIC HMI Comfort Panels, SIMATIC HMI Mobile Panels, SIMATIC IOT2050 (6ES7647-0BA00-1YA2), SIMATIC IPC BX-21A, SIMATIC IPC MD-57A, SIMATIC IPC ORCLA, SIMATIC PDM V9.3, SIMATIC RTLS Locating Manager (6GT2780-0DA00), SIMATIC RTLS Locating Manager (6GT2780-0DA10), SIMATIC RTLS Locating Manager (6GT2780-0DA20), SIMATIC RTLS Locating Manager (6GT2780-0DA30), SIMATIC RTLS Locating Manager (6GT2780-1EA10), SIMATIC RTLS Locating Manager (6GT2780-1EA20), SIMATIC RTLS Locating Manager (6GT2780-1EA30), SIMATIC STEP 7 V5, SIMATIC Target, SIMATIC WinCC OA V3.19, SIMATIC WinCC OA V3.20, SIMATIC WinCC OA V3.21, SIMATIC WinCC Runtime Advanced V17, SIMATIC WinCC Unified Sequence, SIMATIC WinCC V7.5, SIMATIC WinCC V8.0, SIMATIC WinCC V8.1, SIMOTION OACAMGEN (6AU1820-3EA20-0AB0), SIMOVE Fleetmanager V3.1, SIMOVE Fleetmanager V3.2, SIMOVE Fleetmanager V3.3, SINAMICS G200, SINAMICS G220, SINAMICS S200, SINAMICS S210, SINAMICS S220, SINEC INS, SINEC NMS, SINEC Security Monitor, SINUMERIK Access MyMachine /OPC UA, SIPLANT, SITRANS ASM IQ, SITRANS Soft Sensor Engine IQ (SITRANS SSE IQ), Felhasználói Kezelő Komponens (UMC), Visual Inspection Cockpit Termék állapot: ismert_érintett Javítások Megakadályozás Mélységi védelmi intézkedésként a szervezetek megvizsgálhatják, hogy az érintett rendszerek ki vannak-e téve megbízhatatlan CMS/PKCS#7 tartalomnak külső forrásokból. Megakadályozás Ne fogadjon el fájlokat megbízhatatlan és érvényesítetlen forrásokból az érintett alkalmazásokban Megakadályozás Korlátozza a portot a hoston a DeviceConnectionProxy-hoz biztonságos célokra Megakadályozás Biztosítsa a csatlakoztatott email szervert az alábbiak szerint: • Konfigurálja az email szervert, hogy érvényesítse a titkosított kommunikációt (TLS/SSL) minden SMTP kapcsolat esetén. • Korlátozza az email szerverhez való hozzáférést megbízható rendszerekre (pl. tűzfal szabályok vagy IP engedélyezési listák használatával). • Biztosítson egy erős hitelesítést az email szerverhez való hozzáféréshez. • Tartsa naprakészen az email szerver szoftverét és az alapul szolgáló operációs rendszert a legújabb biztonsági javításokkal. Megakadályozás A termékek biztonsági koncepciójában említett megerősítési utasításokat be kell tartani Jelenleg nincs tervezett javítás Jelenleg nincs tervezett javítás Nincs elérhető Jelenleg nincs elérhető javítás Szállítói javítás Frissítse a V1.0 SP2 verzióra Frissítse az 5. verzióra vagy újabb verzióra https://support.industry.siemens.com/cs/ww/en/view/109999722/ Szállítói javítás Frissítse a V1.8.0 verzióra vagy újabb verzióra https://docs.eu1.edge.siemens.cloud/release_notes/scope_of_delivery/scope_of_delivery.html Szállítói javítás Frissítse a V17 verzióra Frissítse a 9. verzióra vagy újabb verzióra https://support.industry.siemens.com/cs/ww/en/view/109800912/ Szállítói javítás Frissítse a V17.9 verzióra vagy újabb verzióra https://support.industry.siemens.com/cs/ww/en/view/109825750/ Szállítói javítás Frissítse a V17 verzióra Frissítse a 9. verzióra vagy újabb verzióra https://support.industry.siemens.com/cs/ww/en/view/109825750/ Szállítói javítás Frissítse a V2.15.3.0 verzióra vagy újabb verzióra https://support.industry.siemens.com/cs/ww/en/view/110000730/ Szállítói javítás Frissítse a V21 verzióra vagy újabb verzióra https://support.industry.siemens.com/cs/ww/en/view/109996963/ Szállítói javítás Frissítse a V3.19 P024 verzióra vagy újabb verzióra https://support.industry.siemens.com/cs/ww/en/view/110000400/ Szállítói javítás Frissítse a V3.20 P012 verzióra vagy újabb verzióra https://support.industry.siemens.com/cs/ww/en/view/110000657/ Szállítói javítás Frissítse a V3.21 P02 verzióra vagy újabb verzióra https://support.industry.siemens.com/cs/ww/en/view/110000985/ Szállítói javítás Frissítse a V3.3.2 verzióra vagy újabb verzióra https://docs.eu1.edge.siemens.cloud/release_notes/scope_of_delivery/scope_of_delivery.html Szállítói javítás Frissítse a V5.7 SP4 verzióra vagy újabb verzióra https://support.industry.siemens.com/cs/ww/en/view/109991080/ Szállítói javítás Vegye fel a kapcsolatot az ügyfélszolgálattal siplant-support.de@siemens.com Szállítói javítás Vegye fel a kapcsolatot az ügyfélszolgálattal Megfelelő CWE: CWE-787 Túlcsordulás írás Méretek CVSS Verzió Alappont Alapvető Súlyosság Vektorpont 3.1 9.8 KRITIKUS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H Elismerések Siemens ProductCERT bejelentette ezt a sebezhetőséget a CISA-nak. Általános ajánlások Általános biztonsági intézkedésként a Siemens határozottan javasolja a hálózati hozzáférés védelmét a berendezésekhez megfelelő mechanizmusokkal. A berendezések védett informatikai környezetben történő üzemeltetéséhez a Siemens javasolja a környezet konfigurálását a Siemens ipari biztonsági működési irányelveinek megfelelően (Letöltés: https://www.siemens.com/cert/operational-guidelines-industrial-security), és a termékek használati útmutatóiban található ajánlások követését. További információ az ipari biztonságról a Siemens-től itt található: https://www.siemens.com/industrialsecurity További erőforrások A Siemens termékek és megoldások biztonsági sebezhetőségeivel kapcsolatos további kérdések esetén, kérjük, lépjen kapcsolatba a Siemens ProductCERT-tel: https://www.siemens.com/cert/advisories Használati feltételek A Siemens biztonsági figyelmeztetéseinek használata a következőben felsorolt feltételekre és feltételekre vonatkozik: https://www.siemens.com/productcert/terms-of-use. Jogi nyilatkozat és használati feltételek Ez a termék ezen Értesítés (https://www.cisa.gov/notification) és a Jogi és Felhasználási politikája (https://www.cisa.gov/privacy-policy) rendelkezései alá esik. Javasolt gyakorlatok A CISA javasolja a felhasználóknak, hogy végezzenek védelmi intézkedéseket a sebezhetőségek kihasználásának kockázatának minimalizálása érdekében. Minimalizálja a hálózati kitettséget minden vezérlőrendszer berendezés és/vagy rendszer számára, és ügyeljen arra, hogy ne legyenek hozzáférhetőek az internetről. Helyezze el a vezérlőrendszer hálózatokat és távoli eszközöket tűzfalak mögé, és izolálja őket az üzleti hálózatoktól. Ha távoli hozzáférés szükséges, használjon biztonságosabb módszereket, mint például a VPN-eket, figyelembe véve, hogy a VPN-ek sebezhetőségekkel bírhatnak és a legfrissebb elérhető verzióra kell őket frissíteni. A VPN csak úgy biztonságos, mint ahogy a csatlakoztatott eszközei. A CISA emlékezteti a szervezeteket, hogy végezzenek megfelelő hatásértékelést és kockázatértékelést a védelmi intézkedések bevezetése előtt. A CISA egy szekciót is biztosít a vezérlőrendszerek biztonságának ajánlott gyakorlatához a cisa.gov ICS weboldalán. Számos CISA termék található, amelyek a kibervédelmi legjobb gyakorlatokat részletezik, beleértve az Ipari Vezérlőrendszerek Kibervédelmét Mélységi Stratégiákkal. A CISA arra ösztönzi a szervezeteket, hogy implementálják a javasolt kibervédelmi stratégiákat az ICS eszközök proaktív védelme érdekében. További enyhítési útmutatók és ajánlott gyakorlatok nyilvánosan elérhetőek az ICS weboldalon a cisa.gov műszaki információs papírában, ICS-TIP-12-146-01B--Célzott Kibercsontozás és Enyhítési Stratégiák. A megfigyelhető gyanús tevékenységeket észlelő szervezeteknek be kell tartaniuk a meglévő belső eljárásokat, és jelenteniük kell az észrevételeiket a CISA-nak a nyomon követés és az egyéb eseményekkel való korreláció érdekében. Figyelmeztetés a figyelmeztetések konvertálására Ez az ICSA a Siemens ProductCERT SSA-434797 verbatim kiadása a szállító Közös Biztonsági Figyelmeztetési Keretrendszerének (CSAF) közvetlen konvertálásából. Ez az átkonvertálás azért került közzétételre a CISA weboldalán, hogy növelje a láthatóságot, és tájékoztató célokra szolgál "a megadott állapotban". A CISA nem vállal felelősséget a közzétett figyelmeztetések szerkesztési vagy technikai pontosságáért, és semmilyen módon nem nyújt garanciát a figyelmeztetésben lévő információkra vonatkozóan. Ezenkívül a CISA nem támogat semmilyen kereskedelmi terméket vagy szolgáltatást. Kérjük, lépjen kapcsolatba közvetlenül a Siemens ProductCERT-tel a figyelmeztetéssel kapcsolatos kérdések esetén. Revíziós előzmények Kezdeti közzétételi dátum: 2026-06-09 Dátum Revízió összefoglaló 2026-06-09 1 Közzététel Dátum 2026-06-23 2 Siemens ProductCERT SSA-434797 figyelmeztetés első CISA újraközzététele

Kapcsolódó cikkek