Siemens sanoat yechimlarida xavfli zaifliklar aniqlandi
Siemens SIPROTEC 5, DIGSI 5 va Spectrum Power’dagi zaifliklardan foydalanish fayllarni o‘chirish yoki qurilmaga xizmat ko‘rsatishni rad etish imkonini beradi.
Siemens SIPROTEC 5, Spectrum Power va DIGSI 5 mahsulotlarida jami uchta muhim zaiflik aniqlandi. Ushbu zaifliklardan muvaffaqiyatli foydalanish xizmat ko’rsatishni rad etishga, fayllarni o’chirishga yoki ma’lumotni kuzatish imkoniyatiga olib kelishi mumkin.
SIPROTEC 5 va DIGSI 5 yechimlarida ikkita zaiflik (CVE-2019-10930 va CVE-2019-10931) aniqlangan. Ushbu zaifliklar fayllarni ma’lum fayl tizimining bo’limlaridan yuklash, yuklab olish yoki o’chirish imkonini beradi yoki qurilmada xizmat ko’rsatishni rad etishga olib keladi. Ushbu zaifliklardan TCP 443 portiga maxsus ishlab chiqilgan paketlarni yuborish orqali foydalanish mumkin. Zaifliklar CVSS v3 jiddiylik darajasiga ega, mos ravishda 7,3 va 7,5.
Xatolar mahsulotning quyidagi versiyalariga ta’sir qiladi: SIPROTEC 5 (CP300, CP200 va CP100 protsessor versiyalari bilan 7,90 gacha bo’lgan barcha versiyalar va 6MD85, 6MD86, 6MD89, 7UM85, 7SA87, 7SD87, 7SA87, 7SD87, 7SA87, 7VSA88, 7VSA88, 7VSA88, 7SD82, 7SD86, 7SL82, 7SL86, 7SJ86, 7SK82, 7SK85, 7SJ82, 7SJ85, 7UT82, 7UT85, 7UT86, 7UT87, 7VE85) va DIGSI 5 (790gacha boʻlgan barcha versiyalar). Ruxsat etilgan proshivka versiyasi ishlab chiqaruvchining veb-saytida mavjud.
CVE-2019-10933 zaifligi Spectrum Power 3 (3.11 va undan keyingi versiyalar), Spectrum Power 4 (versiya 4.75), Spectrum Power 5 (5.50 va undan keyingi versiyalar) va Spectrum Power 7 (2.20 va undan keyingi versiyalar) da aniqlandi. Ushbu zaiflik maxsus ishlab chiqilgan HTTP so’roviga o’zboshimchalik kodini kiritish va ma’lumotni kuzatish imkonini beradi. Zaiflik veb-serverning zararli havoladan keyin XSS hujumini yoqishi tufayli yuzaga keladi. Muvaffaqiyatli ekspluatatsiya foydalanuvchining o’zaro ta’sirini talab qiladi va foydalanuvchi veb-xizmatga kirishi shart emas.
