工業(yè)巨頭西門子（Siemens）和施耐德電氣（Schneider Electric）當?shù)貢r間周二發(fā)布了18條安全警告，解決了影響其產(chǎn)品的總共50多個漏洞。供應(yīng)商提供了補丁、緩解措施和一般安全建議，以降低遭遇攻擊風險。

　　西門子

　　工業(yè)巨頭西門子當?shù)貢r間8月10日發(fā)布了2021年8月補丁周的10個新安全警告，它們總共涵蓋了32個漏洞。

　　根據(jù)他們指定的嚴重程度，最重要的建議是DNS相關(guān)漏洞“NAME:WRECK”對公司SGT工業(yè)燃氣輪機的影響。這已經(jīng)不是西門子第一次就NAME:WRECK缺陷對其產(chǎn)品的影響發(fā)布安全咨詢建議了。

　　西門子的另一項咨詢建議描述了其SIMATIC CP 1543-1和CP 1545-1設(shè)備的ProFTPD組件中的幾個嚴重漏洞。這些安全漏洞允許攻擊者遠程獲取敏感信息或執(zhí)行任意代碼。

　　這家德國工業(yè)巨頭的SIMATIC S7-1200PLC缺少認證的缺陷被評為高級別。攻擊者可以利用該漏洞繞過認證，將任意程序下載到PLC中。

　　一份描述JT2Go和Teamcenter Visualization中的漏洞的建議涵蓋了7個可用于DoS攻擊、信息泄露或遠程代碼執(zhí)行的漏洞。它們的利用包括讓目標用戶打開一個專門制作的文件。

　　針對JT2Go和Teamcenter Visualization的單獨建議描述了兩個嚴重程度較高的缺陷，它們可能導(dǎo)致DoS或任意代碼執(zhí)行，以及一個中度嚴重程度較高的問題，它們可能導(dǎo)致信息泄露。針對這些產(chǎn)品的警告通常針對許多cve，因為缺陷是相似的，但它們是使用不同的文件格式觸發(fā)的。

　　另一份涵蓋了許多CVE（準確地說是十幾個）的咨詢建議，描述了英特爾產(chǎn)品中的漏洞對西門子工業(yè)系統(tǒng)的影響。西門子已經(jīng)發(fā)布了幾個受影響產(chǎn)品的更新，并正在為其余產(chǎn)品開發(fā)BIOS補丁。

　　在Solid Edge產(chǎn)品中，西門子修補了兩個高度嚴重的代碼執(zhí)行漏洞，用戶可以利用這兩個漏洞打開專門制作的文件。

　　該公司解決的最后一個高級別缺陷是影響SINEC NMS（網(wǎng)絡(luò)管理系統(tǒng)）的操作系統(tǒng)命令注入問題。然而，利用需要管理權(quán)限。

　　西門子是工業(yè)控制系統(tǒng)漏洞的大戶，2020全年共被披露有CVE編號漏洞101個，2021年截止目前已披露CVE編號漏洞176個（美國NVD漏洞庫數(shù)據(jù)），基本上是漏洞數(shù)量的排行老大。

　　施耐德電氣

　　施耐德電氣（Schneider Electric）當?shù)貢r間8月10日發(fā)布了八份新的安全警告，涵蓋了總共25個漏洞。

　　這家工業(yè)巨頭發(fā)布的其中兩份警告，描述Windows漏洞對其NTZ Mekhanotronika Rus控制面板的影響。一個建議是針對HTTP協(xié)議棧遠程代碼執(zhí)行漏洞，微軟在5月修補了該漏洞；第二個建議是針對與Windows Print Spooler服務(wù)相關(guān)的兩個問題，包括臭名昭著的PrintNightmare漏洞。

　　另一份報告描述了使用CODESYS工業(yè)自動化軟件帶來的三個嚴重問題。這些缺陷影響了施耐德和其他幾家主要供應(yīng)商的工業(yè)控制系統(tǒng)（ICS）。

　　此外，還對可能導(dǎo)致DoS或未經(jīng)授權(quán)訪問的Harmony HMI漏洞、Pro-face GP-Pro EX HMI屏幕編輯器和邏輯編程軟件中的特權(quán)提升問題以及AccuSine電源穩(wěn)定產(chǎn)品中的信息泄露漏洞進行了高級別評級。

　　施耐德還發(fā)布了一份關(guān)于影響AT&T實驗室壓縮機（XMilI）和解壓器（XDemill）公用設(shè)施的十幾個漏洞的建議，這些漏洞用于該公司的EcoStruxure和SCADAPack產(chǎn)品。AT&T實驗室不再支持受影響的軟件，因此供應(yīng)商不會發(fā)布補丁，但施耐德確實計劃在未來自己的產(chǎn)品中解決這個問題。思科Talos的研究人員發(fā)現(xiàn)了這些漏洞，并披露了每個漏洞的技術(shù)細節(jié)。

　　施耐德電器2020年共被披露CVE編號的漏洞88個（美國國家漏洞庫NVD數(shù)據(jù)）。2021年截止目前已被披露66個CVE編號漏洞。