工業巨頭西門子、羅克韋爾自動化、施耐德電氣和菲尼克斯電氣發布了「補丁星期二」公告，告知客戶其 ICS/OT 產品中發現的漏洞。

西門子

西門子發布了14份新的安全公告。其中三份公告的整體嚴重性評級為“嚴重”，涉及數十個影響Comos、Sicam T和Ruggedcom ROX產品的第三方組件漏洞。

西門子高級許可（SALT）工具包、IAM 用戶端（多個產品）、Simatic CN 4100、Ruggedcom ROX、Interniche IP-Stack（多個產品）和 Sinec 安全監視器中發現的漏洞已被評為「高嚴重性」等級。

能源服務、Building X-Security Manager Edge Controller、Gridscale X Prepay、Ruggedcom ROS 和 Sinema Remote Connect Server 產品中已解決中度嚴重性問題。

這些漏洞可被利用來執行任意程式碼、拒絕服務 (DoS)、未經授權的存取、中間人 (MitM) 攻擊以及取得敏感資訊。

施耐德電機

施耐德電機發布了兩份新的安全公告。其中一份公告描述了被利用的Windows Server Update Services (WSUS) 漏洞對這家工業巨頭的 EcoStruxure Foxboro DCS 產品的影響。另一份公告則涵蓋了舊的 ZombieLoad 漏洞對同一 EcoStruxure 產品的影響。

羅克韋爾自動化

羅克韋爾自動化也發布了兩份新的安全公告。其中一個公告涉及影響 432ES-IG3 系列 A GuardLink EtherNet/IP 介面的高風險拒絕服務 (DoS) 漏洞。另一份公告則描述了 FactoryTalk DataMosaix 私有雲中的高風險 SQL 注入漏洞。

Phoenix Contact

Phoenix Contact發布了一份安全公告，描述了其 FL SWITCH 2xxx 系列交換器中發現的多個 XSS、DoS、身份驗證和資訊外洩漏洞。 Phoenix Contact 的安全建議也得到了德國VDE CERT的關注。

CISA發布了三份新的安全公告。每份公告都描述了一個影響印度閉路電視攝影機（缺少身份驗證）、Festo LX 設備（XSS）和 U-Boot（代碼執行）的漏洞。

資料來源：https://www.securityweek.com/ics-patch-tuesday-vulnerabilities-fixed-by-siemens-rockwell-schneider/