Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

SK-CERT Bezpečnostné varovanie V20240710-06

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
10.0
Identifikátor
Siemens produkty – viacero kritických bezpečnostných zraniteľností
Popis
Spoločnosť Siemens vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých sú štyri označené ako kritické.
Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2023-42789 sa nachádza v komponente Fortinet FortiOS produktu RUGGEDCOM APE1808, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej HTTP požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Ostatné bezpečnostné zraniteľnosti možno zneužiť na vykonanie škodlivého kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému, neoprávnený prístup k citlivým údajom, neoprávnené zmeny v systéme a zneprístupnenie služby.
Zneužitie viacerých zraniteľností vyžaduje interakciu zo strany používateľa.
Dátum prvého zverejnenia varovania
9.7.2024
CVE
CVE-2024-37996, CVE-2024-37997, CVE-2022-45147, CVE-2023-36640, CVE-2023-47537, CVE-2023-38545, CVE-2023-38546, CVE-2023-41677, CVE-2023-42789, CVE-2023-42790, CVE-2023-44247, CVE-2023-44250, CVE-2023-44487, CVE-2023-45583, CVE-2023-45586, CVE-2023-46714, CVE-2023-46717, CVE-2023-48784, CVE-2024-21762, CVE-2024-23110, CVE-2024-23112, CVE-2024-23113, CVE-2024-23662, CVE-2024-26007, CVE-2024-39567, CVE-2024-39568, CVE-2024-39569, CVE-2024-3400, CVE-2024-30321, CVE-2024-38867, CVE-2024-39570, CVE-2024-39571, CVE-2023-32735, CVE-2022-40982, CVE-2019-13946, CVE-2024-39888
IOC
Zasiahnuté systémy
RUGGEDCOM APE1808
JT Open
PLM XML SDK
SIMATIC PCS
Totally Integrated Automation Portal (TIA Portal)
SINEMA Remote Connect Client
SIMATIC PCS 7 V9.1
SIMATIC WinCC Runtime Professional V18
SIMATIC WinCC Runtime Professional V19
SIMATIC WinCC V7.4
SIMATIC WinCC V7.5
SIMATIC WinCC V8.0
SIPROTEC 5 – CP050 Devices
SIPROTEC 5 – CP100 Devices
SIPROTEC 5 – CP150 Devices
SIPROTEC 5 – CP200 Devices
SIPROTEC 5 – CP300 Devices
SIPROTEC 5 Communication Modules
SINEMA Remote Connect Server
SIMATIC Field PG M6
SIMATIC IPC627E / IPC647E / IPC677E / IPC847E
SIMATIC IPC1047
SIMATIC IPC1047E
SIMATIC IPC BX-39A / IPC PX-39A / IPC PX-39A PRO
SIMATIC IPC RW-543A
Mendix Encryption
Development/Evaluation Kits for PROFINET IO: DK Standard Ethernet Controller
Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200
Development/Evaluation Kits for PROFINET IO: EK-ERTEC 200P
PROFINET Driver for Controller
SCALANCE M-800 family (incl. S615, MUM-800 and RM1224)
SCALANCE W-700 IEEE 802.11n family
SCALANCE X200-4P IRT (6GK5200-4AH00-2BA3)
SCALANCE X201-3P IRT (6GK5201-3BH00-2BA3)
SCALANCE X201-3P IRT PRO (6GK5201-3JR00-2BA6)
SCALANCE X202-2IRT (6GK5202-2BB00-2BA3)
SCALANCE X202-2P IRT (6GK5202-2BH00-2BA3)
SCALANCE X202-2P IRT PRO (6GK5202-2JR00-2BA6)
SCALANCE X204-2 (6GK5204-2BB10-2AA3)
SCALANCE X204-2FM (6GK5204-2BB11-2AA3)
SCALANCE X204-2LD (6GK5204-2BC10-2AA3)
SCALANCE X204-2LD TS (6GK5204-2BC10-2CA2)
SCALANCE X204-2TS (6GK5204-2BB10-2CA2)
SCALANCE X204IRT (6GK5204-0BA00-2BA3)
SCALANCE X204IRT PRO (6GK5204-0JA00-2BA6)
SCALANCE X206-1 (6GK5206-1BB10-2AA3)
SCALANCE X206-1LD (6GK5206-1BC10-2AA3)
SCALANCE X208 (6GK5208-0BA10-2AA3)
SCALANCE X208PRO (6GK5208-0HA10-2AA6)
SCALANCE X212-2 (6GK5212-2BB00-2AA3)
SCALANCE X212-2LD (6GK5212-2BC00-2AA3)
SCALANCE X216 (6GK5216-0BA00-2AA3)
SCALANCE X224 (6GK5224-0BA00-2AA3)
SCALANCE X-300 family (incl. X408 and SIPLUS NET variants)
SCALANCE XB-200/XC-200/XP-200/XF-200BA/XR-300WG family
SCALANCE XC-200
SCALANCE XF201-3P IRT (6GK5201-3BH00-2BD2)
SCALANCE XF202-2P IRT (6GK5202-2BH00-2BD2)
SCALANCE XF204 (6GK5204-0BA00-2AF2)
SCALANCE XF204-2 (6GK5204-2BC00-2AF2)
SCALANCE XF204-2BA IRT (6GK5204-2AA00-2BD2)
SCALANCE XF204IRT (6GK5204-0BA00-2BF2)
SCALANCE XF206-1 (6GK5206-1BC00-2AF2)
SCALANCE XF208 (6GK5208-0BA00-2AF2)
SCALANCE XF-200BA
SCALANCE XM-400/XR-500 family
SCALANCE XP-200
SIMATIC CP 343-1 (6GK7343-1EX30-0XE0)
SIMATIC CP 343-1 Advanced (6GK7343-1GX31-0XE0)
SIMATIC CP 343-1 ERPC (6GK7343-1FX00-0XE0)
SIMATIC CP 343-1 Lean (6GK7343-1CX10-0XE0)
SIMATIC CP 443-1 (6GK7443-1EX30-0XE0)
SIMATIC CP 443-1 (6GK7443-1EX30-0XE1)
SIMATIC CP 443-1 Advanced (6GK7443-1GX30-0XE0)
SIMATIC CP 443-1 OPC UA (6GK7443-1UX00-0XE0)
SIMATIC CP 1616 and CP 1604
SIMATIC ET200ecoPN, 4AO U/I 4xM12 (6ES7145-6HD00-0AB0)
SIMATIC ET200ecoPN, 8 DIO, DC24V/1,3A, 8xM12 (6ES7147-6BG00-0AB0)
SIMATIC ET200ecoPN, 8 DO, DC24V/2A, 8xM12 (6ES7142-6BR00-0AB0)
SIMATIC ET200ecoPN, 8AI RTD/TC 8xM12 (6ES7144-6KD50-0AB0)
SIMATIC ET200ecoPN, 8AI; 4 U/I; 4 RTD/TC 8xM12 (6ES7144-6KD00-0AB0)
SIMATIC ET200ecoPN, 8DI, DC24V, 4xM12 (6ES7141-6BF00-0AB0)
SIMATIC ET200ecoPN, 8DI, DC24V, 8xM12 (6ES7141-6BG00-0AB0)
SIMATIC ET200ecoPN, 8DO, DC24V/0,5A, 4xM12 (6ES7142-6BF50-0AB0)
SIMATIC ET200ecoPN, 8DO, DC24V/1,3A, 4xM12 (6ES7142-6BF00-0AB0)
SIMATIC ET200ecoPN, 8DO, DC24V/1,3A, 8xM12 (6ES7142-6BG00-0AB0)
SIMATIC ET200ecoPN, 16DI, DC24V, 8xM12 (6ES7141-6BH00-0AB0)
SIMATIC ET200ecoPN, 16DO DC24V/1,3A, 8xM12 (6ES7142-6BH00-0AB0)
SIMATIC ET200ecoPN: IO-Link Master (6ES7148-6JA00-0AB0)
SIMATIC ET200S (incl. SIPLUS variants)
SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0)
SIMATIC ET 200M IM 153-4 PN IO HF (incl. SIPLUS) SIMATIC ET 200M IM 153-4 PN IO ST (incl. SIPLUS variants)
SIMATIC ET 200MP IM 155-5 PN HF (incl. SIPLUS variants)
SIMATIC ET 200MP IM 155-5 PN ST (incl. SIPLUS variants)
SIMATIC ET 200pro IM 154-3 PN HF (6ES7154-3AB00-0AB0)
SIMATIC ET 200pro IM 154-4 PN HF (6ES7154-4AB10-0AB0)
SIMATIC ET 200SP IM 155-6 PN BA (6ES7155-6AR00-0AN0)
SIMATIC ET 200SP IM 155-6 PN HF (incl. SIPLUS variants)
SIMATIC ET 200SP IM 155-6 PN ST (incl. SIPLUS variants)
SIMATIC IPC Support, Package for VxWorks
SIMATIC MV400 family
SIMATIC PN/PN Coupler (incl. SIPLUS NET variants)
SIMATIC RF180C (6GT2002-0JD00)
SIMATIC RF182C (6GT2002-0JD10)
SIMATIC RF600R family
SIMOTION C
SIMOTION D
SIMOTION P
SINAMICS DCP
SIPLUS NET CP 343-1 (6AG1343-1EX30-7XE0)
SIPLUS NET CP 343-1 Advanced (6AG1343-1GX31-4XE0)
SIPLUS NET CP 343-1 Lean (6AG1343-1CX10-2XE0)
SIPLUS NET CP 443-1 (6AG1443-1EX30-4XE0)
SIPLUS NET CP 443-1 Advanced (6AG1443-1GX30-4XE0)
SOFTNET-IE PNIO

Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkazoch v sekcii ZDROJE

Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Odporúčania
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať.
V prípade, že aktualizácia systému nie je možná, odporúčame postupovať podľa pokynov výrobcu uvedených na odkazoch v sekcii ZDROJE.
Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.
Riadiace jednotky a systémy odporúčame prevádzkovať úplne oddelené od internetu. Ak je potrebný vzdialený prístup, použite virtuálnu súkromnú sieť (VPN). Administrátorom odporúčame filtrovať sieťovú komunikáciu bezpečnostnými prvkami sieťovej infraštruktúry.
Zdroje
https://cert-portal.siemens.com/productcert/html/ssa-824889.html
https://cert-portal.siemens.com/productcert/html/ssa-825651.html
https://cert-portal.siemens.com/productcert/html/ssa-832273.html
https://cert-portal.siemens.com/productcert/html/ssa-868282.html
https://cert-portal.siemens.com/productcert/html/ssa-750274.html
https://cert-portal.siemens.com/productcert/html/ssa-883918.html
https://cert-portal.siemens.com/productcert/html/ssa-750499.html
https://cert-portal.siemens.com/productcert/html/ssa-928781.html
https://cert-portal.siemens.com/productcert/html/ssa-779936.html
https://cert-portal.siemens.com/productcert/html/ssa-780073.html
https://cert-portal.siemens.com/productcert/html/ssa-981975.html
https://cert-portal.siemens.com/productcert/html/ssa-998949.html

« Späť na zoznam