Siemens และ Schneider Electric ออกแพตซ์อัปเดตแก้ไขช่องโหว่มากกว่า 100 รายการใน Patch Tuesday ในเดือนมีนาคม 2023
Siemens ออกคำแนะนำเพิ่มเติมสำหรับช่องโหว่เพียง 7 รายการ แต่ระบุถึงช่องโหว่ทั้งหมด 92 รายการ อย่างไรก็ตามช่องโหว่ส่วนใหญ่ถูกนำมาใช้โดยร่วมกับ component จาก third-party มากกว่าที่เป็นช่องโหว่โดยตรงกับผลิตภัณฑ์ของ Siemens (more…)
บริษัท Siemens ปล่อยแพตช์อุดช่องโหว่ซอฟต์แวร์ WinCC ที่ใช้ควบคุมและมอนิเตอร์ระบบ SCADA โดยอุดรูรั่วไปสองบั๊ก ที่มีความร้ายแรงสูงทั้งคู่
ช่องโหว่ CVE-2014-8551 ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันในระบบได้จากระยะไกล (remote code execution) โดยไม่ต้องยืนยันตัวตนผู้ใช้ แฮกเกอร์เพียงแต่สร้างแพ็กเก็ตข้อมูลพิเศษขึ้นมา ช่องโหว่นี้มีความร้ายแรงตามระบบให้คะแนน CVSS อยู่ที่ 10.0 คะแนน
ช่องโหว่ CVE-2014-8552 ทำให้แฮกเกอร์ส่งข้อมูลเข้ามายังเซิร์ฟเวอร์ WinCC เพื่อบังคับให้ดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ที่แฮกเกอร์ต้องการได้ ความร้ายแรงตาม CVSS อยู่ที่ 7.8 คะแนน
ช่องโหว่ทั้งสองสามารถถูกแฮกจากแฮกเกอร์ที่ความสามารถไม่สูงนัก ความเสี่ยงที่จะถูกโจมตีจึงสูงมาก ผู้ดูแลระบบควรรีบติดตั้งแพตช์โดยเร็ว
ระบบ SCADA เป็นระบบสื่อสารที่ใช้งานกันในการควบคุมโครงสร้างพื้นฐานและโรงงาน รวมไปถึงโรงงานผลิตไฟฟ้า, ระบบน้ำประปา, ระบบระบายน้ำเสีย, ไปจนถึงระบบควบคุมอุณหภูมิตามอาคาร