多款Siemens产品跨站请求伪造漏洞

CNVD-ID CNVD-2022-75547
公开日期 2022-11-09
危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N)
影响产品 Siemens SIMATIC S7-1500 Software Controller
Siemens SIMATIC WinCC Runtime Advanced
Siemens SIMATIC S7-PLCSIM Advanced
Siemens SIMATIC Drive Controller family
Siemens SIMATIC S7-1200 CPU family (incl. SIPLUS variants)
Siemens SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants)
Siemens SINUMERIK ONE
Siemens SIMATIC ET 200pro IM154-8 PN/DP CPU (6ES7154-8AB01-0AB0) <3.2.19 Siemens SIMATIC ET 200pro IM154-8F PN/DP CPU (6ES7154-8FB01-0AB0) <3.2.19 Siemens SIMATIC ET 200pro IM154-8FX PN/DP CPU (6ES7154-8FX00-0AB0) <3.2.19 Siemens SIMATIC ET 200S IM151-8 PN/DP CPU (6ES7151-8AB01-0AB0) <3.2.19 Siemens SIMATIC ET 200S IM151-8F PN/DP CPU (6ES7151-8FB01-0AB0) <3.2.19 Siemens SIMATIC PC Station >=2.1
Siemens SIMATIC S7-300 CPU 314C-2 PN/DP (6ES7314-6EH04-0AB0) <3.3.19 Siemens SIMATIC S7-300 CPU 315-2 PN/DP (6ES7315-2EH14-0AB0) <3.2.19 Siemens SIMATIC S7-300 CPU 315F-2 PN/DP (6ES7315-2FJ14-0AB0) <3.2.19 Siemens SIMATIC S7-300 CPU 315T-3 PN/DP (6ES7315-7TJ10-0AB0) <3.2.19 Siemens SIMATIC S7-300 CPU 317-2 PN/DP (6ES7317-2EK14-0AB0) <3.2.19 Siemens SIMATIC S7-300 CPU 317F-2 PN/DP (6ES7317-2FK14-0AB0) <3.2.19 Siemens SIMATIC S7-300 CPU 317T-3 PN/DP (6ES7317-7TK10-0AB0) <3.2.19 Siemens SIMATIC S7-300 CPU 317TF-3 PN/DP (6ES7317-7UL10-0AB0) <3.2.19 Siemens SIMATIC S7-300 CPU 319-3 PN/DP (6ES7318-3EL01-0AB0) <3.2.19 Siemens SIMATIC S7-300 CPU 319F-3 PN/DP (6ES7318-3FL01-0AB0) <3.2.19 Siemens SIMATIC S7-400 PN/DP V6 CPU family (incl. SIPLUS variants) Siemens SIMATIC S7-400 PN/DP V7 CPU family (incl. SIPLUS variants) Siemens SIPLUS ET 200S IM151-8 PN/DP CPU (6AG1151-8AB01-7AB0) <3.2.19 Siemens SIPLUS ET 200S IM151-8F PN/DP CPU (6AG1151-8FB01-2AB0) <3.2.19 Siemens SIPLUS S7-300 CPU 314C-2 PN/DP (6AG1314-6EH04-7AB0) <3.3.19 Siemens SIPLUS S7-300 CPU 315-2 PN/DP (6AG1315-2EH14-7AB0) <3.2.19 Siemens SIPLUS S7-300 CPU 315F-2 PN/DP (6AG1315-2FJ14-2AB0) <3.2.19 Siemens SIPLUS S7-300 CPU 317-2 PN/DP (6AG1317-2EK14-7AB0) <3.2.19 Siemens SIPLUS S7-300 CPU 317F-2 PN/DP (6AG1317-2FK14-2AB0) <3.2.19 CVE ID CVE-2022-30694 漏洞描述 SIMATIC Drive Controllers是为生产机器的自动化而设计的，结合了SIMATIC S7-1500 CPU和SINAMICS S120驱动控制的功能。SIMATIC PC Station是一个软件组件，用于管理SIMATIC软件产品和PC上的接口。SIMATIC S7-1200 CPU和SIMATIC S7-1500 CPU已设计用于工业环境中的离散和连续控制，如制造业，食品和饮料，以及全球化工行业。SIMATIC S7-1500 Software Controller是一款针对基于pc的自动化解决方案的SIMATIC软件控制器。SIMATIC S7-300 controllers和SIMATIC S7-400 controllers已设计用于工业环境中的离散和连续控制，如制造业，食品和饮料，以及全球化工行业。SIMATIC S7-PLCSIM Advanced模拟S7-1200, S7-1500和其他一些PLC衍生产品。包括模拟plc的完全网络访问，甚至在虚拟环境中。SIMATIC WinAC RTX是一款基于pc的自动化解决方案的SIMATIC软件控制器。SIMATIC WinCC Runtime Advanced是一个可视化运行时平台，用于机器和工厂的操作员控制和监控。SINUMERIK ONE是一款数字原生数控系统，集成SIMATIC S7-1500 CPU，用于自动化。SIPLUS extreme products是为在极端条件下可靠运行而设计的，基于SIMATIC, LOGO!、SITOP、SINAMICS、SIMOTION、SCALANCE或其他设备。SIPLUS设备使用与它们所基于的产品相同的固件。 多款Siemens产品存在跨站请求伪造漏洞，经过身份验证的远程攻击者可利用该漏洞跟踪其他用户的活动。 漏洞类型 通用型漏洞 参考链接 https://cert-portal.siemens.com/productcert/html/ssa-478960.html 漏洞解决方案 厂商已发布了漏洞修复程序，请及时关注更新： https://cert-portal.siemens.com/productcert/html/ssa-478960.html 厂商补丁 多款Siemens产品跨站请求伪造漏洞的补丁 验证信息 (暂无验证信息) 报送时间 2022-11-09 收录时间 2022-11-09 更新时间 2022-11-09 漏洞附件 (无附件) 在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。