CVE-2023-28831
Veikleikinn CVE-2023-28831 hefur CVSSv3 skor upp á 7.5 og felst í heiltölu yfirflæði (integer overflow) sem gæti valdið endalausri lykkju í forritum. Árásaraðilar geta þannig nýtt veikleikann til álagsárásar með sendingu sérsniðinna skírteina (e. specially crafted certificate) sem valda yfirflæðinu [1]. SIMATIC og SIPLUS vörurnar sem háðar eru veikleikanum eru
- Cloud Connect 7
- Drive Controllers
- ET 200SP Open Controller
- S7-1200 CPU, S7-1500 CPU
- S7-1500 ODK CPUs
- S7-1500 Software Controller
- S7-PLCSIM Advanced
Vörulistinn er langur og útgáfurnar enn fleiri. Vill CERT-IS því benda á tæmandi lista frá Siemens varðandi útgáfur sem eru háðar veikleikanum og í hvaða útgáfum hann hefur verið lagfærður [2].
Tilvísanir
[1] https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-01
[2] https://cert-portal.siemens.com/productcert/pdf/ssa-711309.pdf
