Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

В промышленных решениях Siemens обнаружены опасные уязвимости

12/07/19

Siprotec

В продуктах Siemens SIPROTEC 5, Spectrum Power и DIGSI 5 были обнаружены в общей сложности три опасные уязвимости, успешная эксплуатация которых может привести к отказу в обслуживании, удалению файлов либо предоставить возможность мониторинга информации.

В решениях SIPROTEC 5 и DIGSI 5 выявлены две уязвимости (CVE-2019-10930 и CVE-2019-10931), предоставляющие возможность загрузить, выгрузить или удалить файлы в определенных разделах файловой системы либо вызвать отказ в обслуживании устройства. Проблемы могут быть проэксплуатированы путем отправки специально сформированных пакетов на TCP порт 443. Степень опасности узвимостей оценивается в 7,3 и 7,5 балла по шкале CVSS v3 соответственно.

Баги затрагивают следующие версии продуктов: SIPROTEC 5 (все версии до 7.90 с версиями ЦП CP300, CP200 и CP100 и сетевыми коммуникационными модулями 6MD85, 6MD86, 6MD89, 7UM85, 7SA87, 7SD87, 7SL87, 7VK87, 7SA82, 7SA86, 7SD82, 7SD86, 7SL82, 7SL86, 7SJ86, 7SK82, 7SK85, 7SJ82, 7SJ85, 7UT82, 7UT85, 7UT86, 7UT87, 7VE85) и DIGSI 5 (все версии до 7.90). Исправленная версия прошивки доступна на сайте производителя.

В моделях Spectrum Power 3 (версий 3.11 и выше), Spectrum Power 4 (версии 4.75), Spectrum Power 5 (версий 5.50 и выше), Spectrum Power 7 (версий 2.20 и выше) обнаружена уязвимость CVE-2019-10933, позволющая внедрить произвольный код в специально сформированный HTTP запрос и проводить мониторинг информации. Уязвимость связана с тем, что web-сервер позволяет осуществить XSS-атаку при переходе по вредоносной ссылке. Для успешной эксплуатации требуется взаимодействие с пользователем, при этом пользователю не обязательно быть авторизованным в web-сервисе.

Темы:УгрозыSiemensПромышленные решенияSiprotec
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...