simatic_it_line_monitoring_system 漏洞

CVE编号

CVE-2018-13804

利用情况

暂无

补丁情况

N/A

披露时间

2018-12-14
漏洞描述
Siemens SIMATIC IT LMS、SIMATIC IT Production Suite和SIMATIC IT UA Discrete Manufacturing都是德国西门子(Siemens)公司的产品。Siemens SIMATIC IT LMS是一套总体设备效能(OEE)的线路监控系统。SIMATIC IT Production Suite是一套工厂生产管理套件。SIMATIC IT UA Discrete Manufacturing是一套为制造业提供结构化服务的解决方案。
Siemens SIMATIC IT LMS(全部版本)、SIMATIC IT Production Suite 7.1 Upd3之前的7.1版本和SIMATIC IT UA Discrete Manufacturing 2.4之前版本中存在授权问题漏洞。为了利用此漏洞进行攻击,攻击者必须获得受影响安装的网络访问权限,并且必须获得系统的有效用户名。成功利用此漏洞不需要用户权限和用户交互。该漏洞可使攻击者危害系统的机密性、完整性和可用性。在这本公开的公告中,还不知道公众对脆弱性的利用。

解决建议
目前厂商只发布了SIMATIC IT Production Suite等产品的升级补丁以修复漏洞,产品SIMATIC IT LMS的升级补丁暂未发布,详情请参考链接:
https://cert-portal.siemens.com/productcert/pdf/ssa-944083.pdf

参考链接
http://www.securityfocus.com/bid/105924
https://cert-portal.siemens.com/productcert/pdf/ssa-886615.pdf
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 siemens simatic_it_line_monitoring_system * -
运行在以下环境
应用 siemens simatic_it_production_suite v7.1 -
运行在以下环境
应用 siemens simatic_it_ua_discrete_manufacturing * Up to
(including)
v1.2
运行在以下环境
应用 siemens simatic_it_ua_discrete_manufacturing v1.3 -
运行在以下环境
应用 siemens simatic_it_ua_discrete_manufacturing v2.3 -
运行在以下环境
应用 siemens simatic_it_ua_discrete_manufacturing v2.4 -
CVSS3评分
8.1
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-ID 漏洞类型
NVD-CWE-noinfo
阿里云安全产品覆盖情况