ICS周二补丁日：西门子、罗克韦尔、Aveva、施耐德电气修复漏洞

工业巨头西门子、施耐德电气、罗克韦尔自动化和Aveva发布了“补丁星期二”公告，告知客户其ICS/OT产品中的漏洞。

西门子发布了六项新的安全公告。其中一项涵盖了科莫斯工厂工程软件中的两个漏洞，包括一个严重的代码执行漏洞和一个高危安全绕过问题。

西门子 Solid Edge（远程中间人攻击、代码执行）、Altair Grid Engine（代码执行）、Logo! 8 BM（代码执行、拒绝服务攻击、设置篡改）和 Sicam P850（跨站请求伪造）产品中的漏洞也得到了解决。

罗克韦尔自动化公司于 11 月 11 日发布了五份新的安全公告，每份公告都涵盖了在各种产品中发现的高危漏洞。 

该公司告知其 Verve Asset Manager OT 安全平台的客户，该产品存在严重的访问控制问题，未经授权的只读用户可以通过 API 篡改其他用户帐户。

在 Logix 5000 控制器的 Studio 5000 集成设计环境中，罗克韦尔修复了一个暴露 NTLM 哈希值的 SSRF 漏洞以及一个本地代码执行错误。

FactoryTalk DataMosaix 私有云已修复 MFA 绕过漏洞和持久性 XSS 漏洞。此外，SIS 工作站（代码执行漏洞）和 FactoryTalk 策略管理器（拒绝服务攻击漏洞）中因使用第三方组件而引入的缺陷也已修复。

Aveva周二发布了两份新的安全公告。其中一份描述了一个高危持久性XSS漏洞，该漏洞可被利用来提升权限。 

第二份安全公告涵盖了 Aveva Edge 的一个漏洞，该漏洞允许具有项目和缓存文件读取权限的攻击者通过暴力破解弱哈希来获取用户密码。

该漏洞也影响施耐德电气的 EcoStruxure Machine SCADA Expert 和 Pro-face BLUE Open Studio 产品。施耐德电气在本周二的补丁日发布了两份新的安全公告，其中一份涵盖了该漏洞的影响。 

施耐德电气的第二份安全公告描述了 PowerChute 串行关机 UPS 管理软件中存在的高危路径遍历、身份验证暴力破解和权限提升问题。

Moxa、ABB、霍尼韦尔和三菱电机在“补丁星期二”当天没有发布任何安全公告，但它们都在前几天告知客户已修复的漏洞。德国的VDE@CERT也在近日发布了两份安全公告。