Siemens исправила более десятка уязвимостей в своих продуктах

Проблемы позволяют осуществить DoS-атаки и удаленно выполнить код.

В рамках майского «вторника исправлений» компания Siemens выпустила пакет обновлений, устраняющих опасные уязвимости в ряде продуктов, включая оборудование LOGO и SINAMICS Perfect Harmony.

Согласно сообщению производителя, частотные преобразователи SINAMICS Perfect Harmony GH180 содержат опасную DoS-уязвимость (CVE-2019-6574), которая может быть проэкслуатирована при наличи доступа к сети, где расположены уязвимые устройства. При этом злоумышленнику не потребуются высокие привилегии или взаимодействие с пользователем.

Что касается продуктов LOGO, в микроконтроллерах LOGO!8 BM выявлены три серьезные проблемы (CVE-2019-10919, CVE-2019-10920 и CVE-2019-10921), с помощью которых атакующий может изменить конфигурацию устройств, извлечь и расшифровать данные проекта и получить незашифрованный пароль. Баги могут быть проэксплуатированы неавторизованным злоумышленником с доступом к порту 10005/tcp.

Кроме того, инструмент LOGO! Soft Comfort, используемый для настройки и программирования контроллеров LOGO, подвержен уязвимости удаленного выполнения кода (CVE-2019-10924). Для ее эксплуатации атакующему потребуется заставить пользователя открыть специально сформированный файл проекта.

Решения SIMATIC PCS7 и WinCC также содержат ряд уязвимостей, позволяющих удаленно выполнить код, произвольные команды или осуществить DoS-атаку.

Обновление для точек доступа SCALANCE W1750D исправляет несколько багов, затрагивающих программное обеспечение Aruba Networks (партнер Siemens).

На данный момент случаев эксплуатации вышеперечисленных уязвимостей не обнаружено.

Дата: 2019-05-15 13:40:27

Источник: https://www.securitylab.ru/news/499104.php