Siemens hat neun neue Advisories veröffentlicht. Sechs davon betreffen kritische Schwachstellen. Die höchste Bewertung erhielt eine Token-Invalidierungs-Schwachstelle in Opencenter X mit einem CVSS-Wert von 10. Laut Beschreibung ermöglicht sie es einem Angreifer, die Authentifizierung zu umgehen und vollständigen Zugriff auf die Anwendung zu erhalten.
Weitere kritische Schwachstellen hat Siemens in Mendix, Sidis Secured SmartPlug, Simatic S7-1500, Cadra und Desigo CC behoben oder entschärft. Viele der Lücken betreffen Komponenten von Drittanbietern. Sie können für Denial-of-Service-Angriffe, zur Codeausführung, zum Zugriff auf sensible Daten und zur Rechteausweitung ausgenutzt werden.
Darüber hinaus adressierte Siemens hoch eingestufte Schwachstellen in Simatic S7-PLCSIM, Ruggedcom APE1808, Comos, Designcenter, Simcenter, Solid Edge und Tecnomatrix.
Schneider Electric veröffentlichte zwei neue Advisories. Eines davon behandelt eine hoch eingestufte Schwachstelle im Produkt IGSS (Interactive Graphical SCADA System). Dabei können Angreifer über speziell präparierte Dateien beliebigen Code ausführen.
Das zweite Advisory von Schneider Electric beschreibt eine hoch eingestufte Schwachstelle zur Umgehung der Authentifizierung in EcoStruxure Cybersecurity Admin Expert. Laut Hinweis kann ein lokaler Angreifer sie ausnutzen, um verwaltete Geräte zu kompromittieren.
Rockwell Automation publizierte am Dienstag zwölf neue Advisories, darunter zwei zu kritischen Schwachstellen. Eine kritische Lücke im Produkt 1715 Redundant IO erlaubt es einem nicht authentifizierten Angreifer, auf intrusive CLI-Befehle zuzugreifen. Dadurch kann er Dateien lesen oder löschen, Aufgaben stoppen, IO-Zustände ändern und Speicher modifizieren.
Zudem hat Rockwell drei kritische Denial-of-Service-Schwachstellen in seinen Controllern CompactLogix, ControlLogix, Compact GuardLogix und GuardLogix geschlossen. Diese Lücken können ausgenutzt werden, um einen schwerwiegenden, nicht wiederherstellbaren Fehler auszulösen.
Hoch eingestufte Schwachstellen hat Rockwell außerdem in Flex 5000 Adapter, FactoryTalk DataMosaix, FactoryTalk Services Platform, Arena, ThinManager, Studio 5000 Logix Designer, 1756-EN, 1734 POINT I/O und 1719-AENTR gepatcht.
ABB und Mitsubishi Electric haben an diesem Patch Tuesday keine neuen Advisories veröffentlicht. Dem Bericht zufolge informierten beide Hersteller ihre Kunden im vergangenen Monat jedoch über neue Schwachstellen, darunter kritische und hoch eingestufte Probleme.
Zusätzlich wurden am Dienstag drei ABB-Advisories und ein Advisory von Rockwell durch die Cybersicherheitsbehörde CISA verteilt. Das deutsche VDE CERT veröffentlichte fünf neue Advisories zu Schwachstellen in Produkten von Murrelektronik, Mettler Toledo, Codesys und Wago.
