Siemens และ Schneider Electric ออกแพตซ์อัปเดตแก้ไขช่องโหว่มากกว่า 100 รายการใน Patch Tuesday ในเดือนมีนาคม 2023
Siemens ออกคำแนะนำเพิ่มเติมสำหรับช่องโหว่เพียง 7 รายการ แต่ระบุถึงช่องโหว่ทั้งหมด 92 รายการ อย่างไรก็ตามช่องโหว่ส่วนใหญ่ถูกนำมาใช้โดยร่วมกับ component จาก third-party มากกว่าที่เป็นช่องโหว่โดยตรงกับผลิตภัณฑ์ของ Siemens
ตัวอย่างเช่น ช่องโหว่ 65 รายการ ที่ส่งผลกระทบจาก component ต่าง ๆ เช่น Linux kernel, Busybox, OpenSSL และ OpenVPN ซึ่งได้รับการแก้ไขแล้วในผลิตภัณฑ์ Ruggedcom และ Scalance โดยการใช้ประโยชน์จากช่องโหว่เหล่านี้สามารถนำไปสู่การปฏิเสธการให้บริการ (DoS) หรือการแทรกโค้ดที่เป็นอันตราย (code injection) ได้
โดยมีการแก้ไขช่องโหว่ 17 รายการ ที่ส่งผลกระทบต่อ component จาก third-party ในอุปกรณ์ Scalance ซึ่งการใช้ประโยชน์จากช่องโหว่เหล่านี้อาจทำให้เกิดสถานการณ์ DoS หรือมีการรั่วไหลของข้อมูลที่มีความสำคัญได้
ทั้งนี้ Siemens ยังระบุว่าช่องโหว่ OpenSSL หลายรายการได้รับการแก้ไขแล้วในอุปกรณ์ Scalance W1750D โดยช่องโหว่ DoS ที่มีระดับความรุนแรงสูงซึ่งส่งผลกระทบต่อ Wind River VxWorks ก็ได้รับการแก้ไขแล้วในอุปกรณ์ Siprotec 5 เช่นกัน
นอกจากช่องโหว่ที่ส่งผลกระทบต่อ component จาก third-party แล้ว Siemens ยังได้แจ้งให้ผู้ใช้งานทราบเกี่ยวกับช่องโหว่การหลบเลี่ยงการยืนยันตัวตน ซึ่งส่งผลกระทบต่อโมดูล Mendix SAML ช่องโหว่การยกระดับสิทธิ์, information disclosure และ SQL injection ในอุปกรณ์ Ruggedcom Crossbow และเป็นที่น่าสังเกตว่า Siemens ยังไม่ได้ออกแพตช์สำหรับช่องโหว่เหล่านี้ มีเพียงการแนะนำสำหรับวิธีการลดความเสี่ยงจากการถูกโจมตีเท่านั้น
ในส่วนของ Schneider Electric ออกคำแนะนำเพิ่มเติมสำหรับช่องโหว่ 3 รายการ ซึ่งครอบคลุมช่องโหว่ทั้งหมด 10 รายการ คำแนะนำหนึ่งรายการอธิบายถึงช่องโหว่ที่มีความสำคัญใน Power Meter ของ PowerLogic ซึ่งช่องโหว่นี้สามารถนำไปใช้ประโยชน์ในการโจมตีแบบ DoS หรือการเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลได้
ส่วนคำแนะนำอื่น ๆ อธิบายถึงช่องโหว่ด้านความปลอดภัย 8 รายการที่พบในผลิตภัณฑ์ IGSS SCADA โมดูลต่าง ๆ ของ IGSS ซึ่งได้รับผลกระทบจากการโจมตีแบบ DoS และการเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกล ซึ่งได้รับการจัดระดับความรุนแรงเป็น สูง และ ปานกลาง
Siemens และ Schneider ยังได้อัปเดตคำแนะนำก่อนหน้านี้หลายสิบรายการเพื่อแจ้งให้ผู้ใช้งานทราบเกี่ยวกับความพร้อมใช้งานของแพตช์ CVE ใหม่ ๆ รวมถึงการเปลี่ยนแปลงในผลิตภัณฑ์ที่ได้รับผลกระทบ และข้อมูลอื่น ๆ
ที่มา : securityweek
You must be logged in to post a comment.