工業(yè)巨頭西門子（Siemens）和施耐德電氣（Schneider Electric）周二發(fā)布了近12份安全警告，描述了影響其產(chǎn)品的總共50多個漏洞。兩家公司已經(jīng)發(fā)布了補丁和緩解措施來解決這些漏洞。

　　西門子

　　西門子發(fā)布了5個新的警告，涉及33個漏洞。該公司通知客戶，其SINEC網(wǎng)絡(luò)管理系統(tǒng)的更新修補了15個漏洞，其中包括可被任意代碼執(zhí)行利用的漏洞。雖然其中一些已經(jīng)被分配了高嚴(yán)重性級別，但是利用漏洞需要身份驗證。

　　Siemens ProductCERT調(diào)查所有安全問題報告，并發(fā)布安全公告，針對直接涉及Siemens產(chǎn)品并要求應(yīng)用更新、執(zhí)行升級或其他客戶操作的已驗證的安全漏洞。作為幫助操作人員管理安全風(fēng)險和保護(hù)系統(tǒng)的持續(xù)努力的一部分，Siemens ProductCERT公開了操作人員評估安全漏洞影響所需的必要信息。

　　對于SCALANCE W1750D基于控制器的直接訪問點，西門子發(fā)布了涵蓋15個漏洞的補丁和緩解措施，其中包括允許遠(yuǎn)程、未經(jīng)身份驗證的攻擊者在底層操作系統(tǒng)上引發(fā)DoS條件或執(zhí)行任意代碼的關(guān)鍵漏洞。W1750D是一款來自Aruba的品牌設(shè)備，大部分缺陷都存在于ArubaOS操作系統(tǒng)中。

　　該公司還向客戶通報了SIMATIC Process history中的一個關(guān)鍵身份驗證漏洞。攻擊者可以利用該漏洞插入、修改或刪除數(shù)據(jù)。

　　剩下的兩個警告針對SINUMERIK控制器和RUGGEDCOM ROX設(shè)備中的高嚴(yán)重拒絕服務(wù)（DoS）漏洞。在RUGGEDCOM設(shè)備的情況下，未經(jīng)身份驗證的攻擊者在某些情況下可能導(dǎo)致永久性DoS條件。

　　施耐德電氣

　　施耐德電氣發(fā)布了6條新警告，涉及20個漏洞。一份咨詢報告描述了11個Windows漏洞對該公司Conext太陽能發(fā)電廠產(chǎn)品的影響。微軟在2019年和2020年修補了這些安全漏洞，其中許多漏洞具有嚴(yán)重或高嚴(yán)重級別。

　　另一份報告描述了兩個影響施耐德IGSS SCADA系統(tǒng)的嚴(yán)重漏洞，一個是高嚴(yán)重漏洞，一個是中等嚴(yán)重漏洞。該公司表示，最糟糕的情況是，“可能導(dǎo)致攻擊者進(jìn)入運行IGSS的機器的Windows操作系統(tǒng)。”

　　該公司還告知用戶spaceLYnk、wise For KNX和fellerLYnk產(chǎn)品存在嚴(yán)重的信息泄露漏洞，以及ConneXium網(wǎng)絡(luò)管理軟件存在嚴(yán)重的命令執(zhí)行問題。

　　最后一條建議描述了兩個AMNESIA的影響：Modicon TM5模塊上的33個漏洞。AMNESIA:33是去年在四個開源TCP/IP協(xié)議棧中發(fā)現(xiàn)的33個缺陷的名稱。