В продуктах Siemens и Schneider Electric обнаружены десятки уязвимостей

Промышленные гиганты Siemens и Schneider Electric проинформировали клиентов о десятках уязвимостей в своих продуктах. Специалисты Siemens опубликовали восемь уведомлений о примерно двух десятках уязвимостей, затрагивающих продукты Simcenter Femap, SIMATIC TIM, Solid Edge, SIMATIC NET, Mendix, JT2Go, Teamcenter Visualization и SIMATIC RF.

15 опасных уязвимостей содержатся в SIMATIC NET CP 443-1 OPC UA, в частности, в его компоненте NTP (Network Time Protocol). Проблемы были обнаружены в NTP еще в период с 2015 по 2017 год, но поставщики промышленных решений нередко исправляют сторонние программные компоненты спустя годы после выпуска патчей. Уязвимости могут использоваться для осуществления DoS-атак, обхода механизмов безопасности, удаленного выполнения произвольного кода и хищения данных.

Schneider Electric в одном из уведомлений сообщила о 13 проблемах , затрагивающих систему диспетчерского управления и сбора данных Interactive Graphical SCADA System (IGSS). Уязвимости являются опасными и их эксплуатация может привести к хищению данных или удаленному выполнению кода. Злоумышленник может воспользоваться уязвимостями, обманом заставив пользователя открыть вредоносные файлы.

В двух уведомлениях описывается ряд уязвимостей, затрагивающих продукт Schneider PowerLogic. Наиболее опасные из них позволяют злоумышленнику получить доступ к устройству с правами администратора.

Источник: https://www.securitylab.ru/news/521099.php