SK-CERT Bezpečnostné varovanie V20240315-09
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
9.8 |
Identifikátor |
Siemens RUGGEDCOM APE1808 – dve kritické bezpečnostné zraniteľnosti |
Popis |
Spoločnosť Siemens vydala bezpečnostnú aktualizáciu na svoj produkt RUGGEDCOM APE1808, ktorá opravuje viacero bezpečnostných zraniteľností z ktorých sú dve označené ako kritické. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-23113 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitím ostatných bezpečnostných zraniteľností možno eskalovať svoje privilégiá, vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
12.3.2024 |
CVE |
CVE-2023-38545, CVE-2023-38546, CVE-2023-44250, CVE-2023-44487, CVE-2023-47537, CVE-2024-21762, CVE-2024-23113 |
IOC |
– |
Zasiahnuté systémy |
produkty Siemens využívajúce Fortinet NGFW vo verzii staršej ako (vrátane) V7.4.1: RUGGEDCOM APE1808 vo všetkých verziách |
Následky |
Vykonanie škodlivého kódu Eskalácia privilégií Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
Odporúčania |
Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať. Vzhľadom na absenciu záplat pre danú zraniteľnosť odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, detailné inštrukcie môžete nájsť na webovej adrese: https://www.siemens.com/cert/operational-guidelines-industrial-security https://cert-portal.siemens.com/productcert/html/ssa-832273.html |
Zdroje |
https://cert-portal.siemens.com/productcert/html/ssa-832273.html https://www.siemens.com/cert/operational-guidelines-industrial-security |
« Späť na zoznam