Af Eskil Sørensen, 19/01/21
Siemens har i sidste uge orienteret kunderne om, at nogle af dets produktudviklingsløsninger er påvirket af en række sårbarheder, der kan udnyttes til afvikling af vilkårlig kode ved hjælp af ondsindede filer. Det skriver Security Week og Security Affairs.
De berørte produkter er bl.a. Siemens Solid Edge, en løsning, der leverer softwareværktøjer til 3D-design, simulering og fremstilling. Også Siemens JT2Go, et 3D-visningsværktøj til JT-data (ISO-standardiseret 3D-dataformat) og Teamcenter Visualization, der giver organisationer visualiseringsløsninger til dokumenter, 2D-tegninger og 3D-modeller er ramt af sårbarhederne, der har en CVSS-score på over 7.
Sikkerhedshullerne blev opdaget af researchere, og deres afsløring er blevet koordineret via Trend Micros Zero Day Initiative (ZDI) og CISA. De påvirkede produkter er alle udviklet af Siemens Digital Industries Software, som er specialiseret i PLM-løsninger (Product Lifecycle Management).
Både Siemens og CISA har offentliggjort advisories til sårbarhederne. For visse af sårbarhederne er der frigivet patches, mens der til andre, der ikke har fået opdateringer endnu, er udarbejdet workarounds.
Links:
https://www.securityweek.com/tens-vulnerabilities-siemens-plm-products-allow-code-execution
https://securityaffairs.co/wordpress/113511/ics-scada/siemens-digital-industries-software-flaws.html