الوصف:

أصدرت Siemens عدة تحديثات لمعالجة عدد من الثغرات في المنتجات التالية:

• KTP900F All versions < V16 Update 3
• LOGO! 8 BM (incl. SIPLUS variants) All versions < V8.3
• LOGO! Soft Comfort All versions < V8.3
• SENTRON PAC3200 All versions < V2.4.5
• SENTRON PAC4200 All versions < V2.0.1
• SICAM A8000 CP-8000 All versions < V16
• SICAM A8000 CP-8021 All versions < V16
• SICAM A8000 CP-8022 All versions < V16
• SIMATIC ET 200SP Open Controller (incl. SIPLUS variants) V20.8
• SIMATIC HMI Comfort Outdoor Panels 7" & 15" (incl. SIPLUS variants) All versions < V16 Update 3
• SIMATIC HMI Comfort Panels 4" - 22" (incl. SIPLUS variants) All versions < V16 Update 3
• SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 and
• SIMATIC ITC1500 V3.1 All versions
• SIMATIC ITC1500 V3.1 PRO All versions
• SIMATIC ITC1900 V3.1 All versions
• SIMATIC ITC1900 V3.1 PRO All versions
• SIMATIC ITC2200 V3.1 All versions
• SIMATIC ITC2200 V3.1 PRO All versions
• SIMATIC S7-1500 Software Controller V20.8
• SIMATIC WinCC Runtime Advanced All versions < V16 Update 3
• SIMATIC WinCC Runtime Professional All versions < V16 Update 3
• SIRIUS 3RW5 communication module Modbus TCP All versions
• XHQ All Versions < 6.1

التهديدات:

يمكن للمهاجم استغلال الثغرات وتنفيذ ما يلي:

• الكشف والإفصاح عن معلومات حساسة
• حقن البرمجيات (Code injection)
• تزوير الطلب عبر المواقع Cross-site request forgery (CSRF)
• هجمة حجب الخدمة (DoS attack)
• تجاوز المصادقات
• تجاوز سعة مخزن الذاكرة المؤقت

الإجراءات الوقائية:

يوصي المركز بتحديث النسخ المتأثرة حيث أصدرت Siemens توضيحًا لهذه التحديثات:

• https://cert-portal.siemens.com/productcert/txt/ssa-712690.txt
• https://cert-portal.siemens.com/productcert/txt/ssa-700697.txt
• https://cert-portal.siemens.com/productcert/txt/ssa-541017.txt
• https://cert-portal.siemens.com/productcert/txt/ssa-480824.txt
• https://cert-portal.siemens.com/productcert/txt/ssa-478893.txt
• https://cert-portal.siemens.com/productcert/txt/ssa-415783.txt