A Siemens e a Schneider Electric publicaram ontem correções para mais de 140 vulnerabilidades em seu Patch Tuesday de dezembro de 2022. A Schneider Electric publicou apenas três novos avisos, cobrindo seis vulnerabilidades. O mais crítico cobre quatro falhas críticas e de alta gravidade no software de monitoramento Easy UPS da APC: uma exploração da falha pode levar à execução remota de código, escalonamento de privilégios ou desvio de autenticação. O segundo comunicado descreve uma vulnerabilidade de autorização cuja exploração pode levar a acesso não autorizado e divulgação de informações. E o último descreve um risco de DoS de gravidade média na unidade terminal remota (RTU) Saitel DR. A Schneider já publicou as atualizações de software e firmware para corrigir essas vulnerabilidades.
Veja isso
Vulnerabilidades põem em risco sistema SCADA da Schneider
Siemens corrige falha de alto risco em automação predial
A maior parte das correções, no entanto, foi publicada pela Siemens: foram 20 novos avisos abordando cerca de 140 falhas de segurança, mas apenas um traz classificação geral de gravidade ‘crítica’: ele informa os clientes a necessidade de aplicação de patches para mais de 80 vulnerabilidades OpenSSL e OpenSSH que afetam os switches Scalance X-200RNA.
Os mesmos switches também são afetados por seis vulnerabilidades de média e alta gravidade que podem ser exploradas para ataques de script entre sites (XSS), ataques de negação de serviço (DoS) e seqüestro de sessão.
A Siemens lançou patches para alguns dos produtos afetados, mas para muitos deles serão lançadas correções no futuro. Enquanto isso, mitigações e soluções alternativas foram disponibilizadas.