ICS周二补丁日：西门子和施耐德电气搞定50多个漏洞

工业巨头西门子(Siemens)和施耐德电气(Schneider Electric)周二发布了近12份安全警告，描述了影响其产品的总共50多个漏洞。两家公司已经发布了补丁和缓解措施来解决这些漏洞。

西门子

西门子发布了5个新的警告，涉及33个漏洞。该公司通知客户，其SINEC网络管理系统的更新修补了15个漏洞，其中包括可被任意代码执行利用的漏洞。虽然其中一些已经被分配了高严重性级别，但是利用漏洞需要身份验证。

Siemens ProductCERT调查所有安全问题报告，并发布安全公告，针对直接涉及Siemens产品并要求应用更新、执行升级或其他客户操作的已验证的安全漏洞。作为帮助操作人员管理安全风险和保护系统的持续努力的一部分，Siemens ProductCERT公开了操作人员评估安全漏洞影响所需的必要信息

对于SCALANCE W1750D基于控制器的直接访问点，西门子发布了涵盖15个漏洞的补丁和缓解措施，其中包括允许远程、未经身份验证的攻击者在底层操作系统上引发DoS条件或执行任意代码的关键漏洞。W1750D是一款来自Aruba的品牌设备，大部分缺陷都存在于ArubaOS操作系统中。

该公司还向客户通报了SIMATIC Process history中的一个关键身份验证漏洞。攻击者可以利用该漏洞插入、修改或删除数据。

剩下的两个警告针对SINUMERIK控制器和RUGGEDCOM ROX设备中的高严重拒绝服务(DoS)漏洞。在RUGGEDCOM设备的情况下，未经身份验证的攻击者在某些情况下可能导致永久性DoS条件。

施耐德电气

施耐德电气发布了6条新警告，涉及20个漏洞。一份咨询报告描述了11个Windows漏洞对该公司Conext太阳能发电厂产品的影响。微软在2019年和2020年修补了这些安全漏洞，其中许多漏洞具有严重或高严重级别。

另一份报告描述了两个影响施耐德IGSS SCADA系统的严重漏洞，一个是高严重漏洞，一个是中等严重漏洞。该公司表示，最糟糕的情况是，“可能导致攻击者进入运行IGSS的机器的Windows操作系统。”

该公司还告知用户spaceLYnk、wise For KNX和fellerLYnk产品存在严重的信息泄露漏洞，以及ConneXium网络管理软件存在严重的命令执行问题。

最后一条建议描述了两个AMNESIA的影响：Modicon TM5模块上的33个漏洞。AMNESIA:33是去年在四个开源TCP/IP协议栈中发现的33个缺陷的名称。