Schneider Electric adressiert in jedem seiner sechs neuen Advisories jeweils eine Schwachstelle. Als hochgradig kritisch eingestuft sind fest einprogrammierte Zugangsdaten in EcoStruxure IT Data Center Expert, die lokale Ausführung beliebigen Codes in EcoStruxure Power Monitoring Expert und Power Operation sowie Befehlsausführung und vollständige Systemkompromittierung in EcoStruxure Automation Expert.
Darüber hinaus schloss das Unternehmen mittelschwere Lücken in Modicon-Steuerungen – darunter ein Denial-of-Service und eine Kontoübernahme per Cross-Site-Scripting – sowie eine Schwachstelle zur Remote-Codeausführung in EcoStruxure Foxboro DCS.
Siemens behob eine kritische Stored-XSS-Schwachstelle in Simatic-S7-1500-Geräten sowie eine potenziell schwerwiegende Fehlkonfiguration in Mendix-Anwendungen. Zudem informierte das Unternehmen über Schwachstellen, die durch den Einsatz von Drittkomponenten wie Fortinet und OpenSSL entstehen. Im Sicam Siapp SDK wurden hoch- und mittelschwere Lücken geschlossen, in Heliox-EV-Ladegeräten eine als niedrig eingestufte Schwachstelle.
Mitsubishi Electric veröffentlichte ein neues Advisory zu einer aus der Ferne ausnutzbaren DoS-Schwachstelle in seinen Numerical-Control-Systemen, darunter die Serien C80, M800, M800V und M700V. In diesem Monat hatte das Unternehmen bereits über mehrere aus der Ferne ausnutzbare DoS-Schwachstellen in Steuerungen der Reihe MELSEC iQ-F informiert.
Moxa brachte vier neue Advisories heraus. Drei davon beschreiben die Auswirkungen von Schwachstellen in Intel-Produkten, das vierte stellt klar, dass Moxa-Produkte von einer kürzlich bekannt gewordenen Schwachstelle in GNU Inetutils nicht betroffen sind.
Die US-Cybersicherheitsbehörde CISA veröffentlichte zum Patch Tuesday ebenfalls ICS-Advisories. Sie betreffen Schwachstellen in Ceragon Siklu MultiHaul und EtherHaul, Lantronix EDS3000PS und EDS5000 sowie Apeman-Kameras. Hinzu kommt ein Hinweis zu einer kürzlich offengelegten Schwachstelle in einem Gebäudesteuergerät von Honeywell – der Hersteller und der Forscher, der die Lücke fand, sind sich über deren Tragweite uneinig.
Das deutsche VDE-CERT gab Advisories zu Schwachstellen in Produkten von Codesys, Janitza und Weidmüller heraus. Einige der Janitza- und Weidmüller-Lücken lassen sich von entfernten, nicht authentifizierten Angreifern ausnutzen, um das Zielsystem vollständig zu kompromittieren.
