A Siemens e a Schneider Electric divulgaram, nesta terça-feira (9), seus relatórios de ICS Patch Tuesday de abril, alertando os clientes sobre várias vulnerabilidades identificadas em seus produtos ICS no último mês.
A Siemens revelou oito novos avisos, abrangendo um total de aproximadamente 80 vulnerabilidades.
Um dos avisos destaca quase 50 falhas descobertas no Telecontrol Server Basic da empresa, afetando especialmente componentes de software de terceiros.
Além disso, a empresa lançou patches para três vulnerabilidades críticas de execução de código arbitrário encontradas nos pontos de acesso Scalance W1750D, renomeados como dispositivos Aruba.
Outros dois avisos são sobre vulnerabilidades ocasionadas pelo emprego de firewalls virtuais de próxima geração da Palo Alto Networks, afetando a plataforma Ruggedcom APE1808 da Siemens.
Esta permite que organizações implementem aplicações disponíveis no mercado para computação de ponta e cibersegurança em ambientes adversos.
O Ruggedcom APE1808 também incorpora tecnologia da Fortinet e da Nozomi Networks, tendo a Siemens avisado os clientes anteriormente sobre vulnerabilidades nesses produtos.
Um dos alertas discute um ataque chamado Terrapin, que possibilita um invasor interceptar tráfego SSH em produtos da Palo Alto Networks e reduzir a segurança da conexão.
Um segundo aviso detalha seis vulnerabilidades encontradas no software PAN-OS da Palo Alto Networks entre 2022 e 2023, incluindo uma falha que foi aproveitada em ataques DDoS em 2022.
Em um contexto relacionado, um novo ransomware explora uma ferramenta da Palo Alto Networks em seus ataques, e a Palo Alto foi recentemente condenada a pagar US$ 151,5 milhões em um caso de patente.
A Siemens ainda informou os clientes sobre vulnerabilidades em vários produtos, como Simatic S7-100 (referentes a componentes Linux), Sinec NMS, Parasolid e Simatic WinCC.
A empresa já começou a disponibilizar patches para essas questões, mas, por enquanto, apenas as mitigações estão disponíveis para algumas delas.
Por outro lado, a Schneider Electric divulgou neste mês um comunicado informando sobre uma vulnerabilidade crítica de escalonamento de privilégios no produto Easergy Studio.
Os detalhes sobre essa falha estão disponíveis no portal de suporte da empresa.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...