Hoppa yfir valmynd

Alvarlegur veikleiki í Siemens SIMATIC og SIPLUS

15. sep. 2023

CVE-2023-28831

Veikleikinn CVE-2023-28831 hefur CVSSv3 skor upp á 7.5 og felst í heiltölu yfirflæði (integer overflow) sem gæti valdið endalausri lykkju í forritum. Árásaraðilar geta þannig nýtt veikleikann til álagsárásar með sendingu sérsniðinna skírteina (e. specially crafted certificate) sem valda yfirflæðinu [1]. SIMATIC og SIPLUS vörurnar sem háðar eru veikleikanum eru 

  • Cloud Connect 7
  • Drive Controllers
  • ET 200SP Open Controller
  • S7-1200 CPU, S7-1500 CPU
  • S7-1500 ODK CPUs
  • S7-1500 Software Controller
  • S7-PLCSIM Advanced


Vörulistinn er langur og útgáfurnar enn fleiri. Vill CERT-IS því benda á tæmandi lista frá Siemens varðandi útgáfur sem eru háðar veikleikanum og í hvaða útgáfum hann hefur verið lagfærður [2].

Tilvísanir

[1] https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-01 
[2] https://cert-portal.siemens.com/productcert/pdf/ssa-711309.pdf