SK-CERT Bezpečnostné varovanie V20250520-03
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
10.0 |
| Identifikátor |
| Siemens produkty – viacero kritických bezpečnostných zraniteľností |
| Popis |
| Spoločnosť Siemens vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých je viacero označených ako kritických. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-26389 sa nachádza v produktoch OZW672 a OZW772, spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom injekcie špeciálne upravených príkazov vykonať škodlivý kód v kontexte používateľa ROOT s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód. Zneužitie viacerých zraniteľností vyžaduje interakciu zo strany používateľa. |
| Dátum prvého zverejnenia varovania |
| 13.5.2025 |
| CVE |
| CVE-2025-26389, CVE-2025-26390, CVE-2024-51444, CVE-2024-51445, CVE-2024-51446, CVE-2024-51447, CVE-2025-24007, CVE-2025-24008, CVE-2025-24009, CVE-2025-32469, CVE-2025-33024, CVE-2025-33025, CVE-2025-40572, CVE-2025-40573, CVE-2025-40574, CVE-2025-40575, CVE-2025-40576, CVE-2025-40577, CVE-2025-40578, CVE-2025-40579, CVE-2025-40580, CVE-2025-40581, CVE-2025-40582, CVE-2025-40583, CVE-2025-40566, CVE-2024-54085, CVE-2024-23815, CVE-2025-32454, CVE-2025-30174, CVE-2025-30175, CVE-2025-30176, CVE-2025-24510, CVE-2025-40555, CVE-2025-40571, CVE-2025-40556, CVE-2024-3596, CVE-2024-32122, CVE-2024-52963, CVE-2024-0056, CVE-2024-20672, CVE-2024-30105, CVE-2024-35264, CVE-2024-38081, CVE-2024-38095, CVE-2024-43483, CVE-2024-43485, CVE-2025-1688, CVE-2025-31929, CVE-2025-31930 |
| IOC |
| – |
| Zasiahnuté systémy |
| OZW672 OZW772 Polarion V2310 Polarion V2404 SIRIUS 3RK3 Modular Safety System (MSS) SIRIUS Safety Relays 3SK2 RUGGEDCOM ROX II family SCALANCE LPE9403 SIMATIC PCS neo SIMATIC IPC RS-828A Desigo CC Teamcenter Visualization SINEC NMS SINEMA Remote Connect Totally Integrated Automation Portal (TIA Portal) User Management Component (UMC) MS/TP Point Pickup Module APOGEE PXC+TALON TC Series (BACnet) Mendix OIDC SSO (Mendix 9 compatible) Mendix OIDC SSO (Mendix 10 compatible) CPC80 Central Processing/Communication CPCI85 Central Processing/Communication POWER METER SICAM Q100 family POWER METER SICAM Q200 family Powerlink IP SICAM GridPass SICORE Base system SIPROTEC 5 – CP050 Devices SIPROTEC 5 – CP100 Devices SIPROTEC 5 – CP150 Devices SIPROTEC 5 – CP300 Devices BACnet ATEC RUGGEDCOM APE1808 INTRALOG WMS Siveillance Video VersiCharge AC Series Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkazoch v sekcii ZDROJE |
| Následky |
| Vykonanie škodlivého kódu Eskalácia privilégií Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. Riadiace jednotky a systémy odporúčame prevádzkovať úplne oddelené od internetu. Ak je potrebný vzdialený prístup, použite virtuálnu súkromnú sieť (VPN). Administrátorom odporúčame filtrovať sieťovú komunikáciu bezpečnostnými prvkami sieťovej infraštruktúry. |
« Späť na zoznam
