BiznetBiznet

By İsmail Mert Ay Ak

Siemens Spectrum Power 3/4/5/7 Cross Site Scripting (XSS) Güvenlik Zafiyeti

CVE: CVE-2019-10933

Risk Seviyesi: Yüksek

Ürün: Siemens Spectrum Power 3/4/5/7

Etkilenen Sürümler: Spectrum Power 3 (v3.11 ve öncesi tüm sürümler), Spectrum Power 4 (v4.75), Spectrum Power 5 (v5.50 ve öncesi tüm sürümler), Spectrum Power 7 (v2.20 ve öncesi tüm sürümler)

Raporlanma Tarihi: Kasım 2018

Yayınlanma Tarihi: 9 Temmuz 2019

Raporlayan: İsmail Mert AY AK

Problem Detayları: Siemens Spectrum Power uygulamasının tüm sürümlerinde Cross Site Scripting (XSS) zafiyetine neden olan problem tespit edilmiştir. XSS zafiyetleri kullanıcılara ait oturum bilgilerini çalma amaçlı saldırılarda kullanılabilirler.

Çözüm/Öneri: Siemens Energy Customer Support Center veya Siemens distribütörü ile iletişime geçerek, Siemens tarafından bu zafiyet için yayınlanan Spectrum Power’ın en güncel sürümüne geçilmesi tavsiye edilmektedir.

Referanslar:

https://cert-portal.siemens.com/productcert/pdf/ssa-747162.pdf
https://www.us-cert.gov/ics/advisories/icsa-19-190-04

By Can Demirel

SIEMENS Desigo PXC Yetkisiz Firmware Yükleme Zafiyeti

CVE: CVE-2018-4834

CVSS: 9.8 CVSS:3.0 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Risk: Kritik

Ürün: SIEMENS Desigo PXC

Etkilenen Sürümler: 6.00.204 öncesi tüm sürümler

Yama Tarihi: 24 Ocak 2018

Raporlayan: Can Demirel, Melih Berk Ekşioğlu

Problem Detayları: SIEMENS Desigo PXC kritik altyapıların bina otomasyonu amacıyla kullanılmaktadır. Desigo PXC üzerinde yetkisiz firmware yükleme zafiyeti tespit edilmiştir. Bu durum kullanılarak controller üzerinde tam kontrol sağlamak mümkündür.

Çözüm/Öneri: Üretici tarafından yayınlanan yamanın uygulanması tavsiye edilmektedir.

Referanslar:
https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-824231.pdf
https://ics-cert.us-cert.gov/advisories/ICSA-18-025-02