Siemens oʻz mahsulotlari uchun 16 ta xavfsizlik ogohlantirishini eʼlon qildi.
SICAM 230 dagi zaiflik CVSS v.3 zaiflikning jiddiylik shkalasi bo’yicha maksimal o’n ball oldi.
Siemens o’zining sanoat boshqaruv tizimlari uchun 16 ta xavfsizlik bo’yicha ogohlantirishlar chiqardi, jumladan, WibuKey raqamli huquqlarni boshqarish (DRM) tizimidagi SICAM 230 jarayonlarni boshqarish dasturiga ta’sir qiluvchi muhim zaiflik haqida ogohlantirish. SICAM 230 (CVE-2018-3991) dagi zaifliklardan biri CVSS v.3 zaifliklarni baholash shkalasida maksimal 10 ball oldi. Hujumni amalga oshirish uchun masofaviy hujumchi 22347/tcp portiga maxsus tayyorlangan TCP paketini yuborishi mumkin, bu esa uyumning toshib ketishiga va potentsial ravishda kodni bajarishga olib kelishi mumkin.
Yana bir zaiflik (CVE-2018-3990) CVSS v.3 bo’yicha 9.3 ball oldi. Undan foydalanish uchun tajovuzkor maxsus tayyorlangan I/O so’rov paketini yuborishi va buferning toshib ketishiga olib kelishi mumkin, bu esa xotira buzilishi va imtiyozlarning oshishiga olib kelishi mumkin.
Qolgan zaifliklar EN100 Ethernet aloqa moduli va SIPROTEC 5 dagi uchta DoS zaifliklarini o’z ichiga oladi (CVSS v.3 ball 7.5). Ushbu zaifliklardan foydalanish zaif EN100 modullarida IEC 61850-MMS aloqasini yoqishini talab qiladi. Biroq, agar bu shart bajarilsa, hujumni amalga oshirish uchun na foydalanuvchi o’zaro ta’siri, na imtiyozlarni oshirish talab qilinmaydi.
SIPROTEC 4, SIPROTEC Compact va Reyrolle uchun EN100 Ethernet aloqa modulidagi zaiflik (CVE-2018-4838) dasturiy ta’minotni oldingi versiyalarga qaytarish imkonini beradi. Bu tajovuzkorga yangi dasturiy ta’minot versiyalarida allaqachon tuzatilgan ma’lum zaifliklardan foydalanish imkonini beradi.
SIMATIC, SIMOTION va SINAMIC seriyali mahsulotlari va PROFINET ishlab chiqish va baholash to’plamlarida masofaviy hujumchiga 161/udp (SNMP) portiga maxsus tayyorlangan paketni yuborish orqali xizmatni rad etishga imkon beradigan zaiflik (CVE-2017-12741) aniqlandi.
