西門子、施耐德電機、Aveva、羅克韋爾自動化、ABB、菲尼克斯電氣、三菱電機和Moxa已修復漏洞。

自從上次「補丁星期二」以來，工業巨頭西門子、施耐德電氣、Aveva、羅克韋爾自動化、ABB、菲尼克斯電氣、三菱電機和Moxa發布了新的ICS安全公告。其中，僅有一份公告提及了嚴重性評級為「嚴重」的漏洞，該公告涵蓋了影響 Scalance W-700 設備的舊版 Wi-Fi 漏洞。以下是各家廠商的漏洞修補訊息：

✔  西門子已修復了 Sinec NMS（驗證/授權繞過）、Ruggedcom Crossbow（權限提升、程式碼執行、拒絕服務攻擊）和工業邊緣管理（授權繞過）中的高風險漏洞。 TPM 和分析工具包中的中度危險問題也已解決。

該公司還宣布，將參與CVE計劃的全新供應商授權資料發布者（SADP）項目，該項目允許西門子等供應商向漏洞條目添加資訊。思科、微軟、HeroDevs、甲骨文和紅帽也參與了SADP試點計畫。

✔  施耐德電機發布了三份新的安全公告。其中一份描述了2024年揭露的BlastRadius漏洞對該公司Modicon Networking管理型交換器 的影響。

另外兩個安全公告涵蓋了 PowerChute Serial Shutdown UPS 管理軟體和 Easergy MiCOM Px40 保護繼電器中的中度嚴重性漏洞。

✔  Aveva發布了一份安全公告，告知客戶 Pipeline Simulation 中存在嚴重的授權缺失和權限提升漏洞。

✔  羅克韋爾自動化發布了一份重要通知，敦促客戶在發現潛在的威脅行為者活動後，斷開PLC與互聯網的連接。該警報可能與伊朗關聯的威脅組織透過PLC入侵對關鍵基礎設施機構發動的攻擊有關。

✔  ABB 已發布了四份安全公告。其中三份涉及 Ability Camera Connect、Ability Symphony 和 System 800xA 產品中的第三方元件漏洞。最後一份公告描述了 System 800xA 和 Symphony Plus IEC 61850 通訊協定堆疊中的拒絕服務 (DoS) 漏洞。

✔  菲尼克斯電氣發布了一項新的公告，告知客戶 FL Switch 產品有多項缺陷。三菱馬達發布了兩項新的安全公告：一項是針對家用電器中 Realtek 晶片引入的 DoS 漏洞；另一項是針對 Genesis64、Iconics Suite、MobileHMI、Hyper Historian、AnalytiX 和 MC Works64 產品中存在的多個資訊外洩、篡改和 DoS 漏洞。

✔  Moxa發布了一份新的安全公告，指出 MxGeneralIo 存在一個安全漏洞，可能導致拒絕服務攻擊或權限提升。

另外，CISA已發布了針對 GPL Odorizers、Contemporary Controls、三菱電機、日立能源、橫河電機、PX4、安立、PTC、OpenCode Systems、Wago、Pharos、Grassroots、Automated Logic、IGL-Technologies、CTmation 產品中漏洞的公告。

德國CERT@VDE發布了針對 Codesys、MB Connect Line、Helmholz、Wago、Phoenix Contact、Baade M2M-Products 和 Endress+Hauser 產品的公告。

資料來源：https://www.securityweek.com/ics-patch-tuesday-8-industrial-giants-publish-new-security-advisories/