آسیب پذیری خطرناک محصولات SIMATIC WINCC ، SIMATIC PCS7 و SIMATIC TIA PORTAL

طبق مستند منتشر شده شرکت #‫Siemens در تاریخ 2019-09-10 (19/6/98) محصولات SIMATIC WinCC Runtime و SIMATIC PCS7 و SIMATIC WinCC ( همچنین نسخه TIA PORTAL ) دارای آسیب پذیری با درجه اهمیت 9.1 و شماره CVE-2019-10916 هستند که اجازه اجرای کد را برای حمله کننده برروی سیستم های آلوده را فراهم می کند. این آسیب پذیری قابل بهره برداری از راه دور می باشد ( حمله کننده می بایست به project file دسترسی داشته باشد ) و به دلیل ضعف در کد از نوع SQL INJECTION (شماره CWE-89) بوجود آمده است.

محصولات آسیب پذیر به ظرح زیر می باشند :

• تمامی نسخه های SIMATIC PCS 7 V8.0

• تمامی نسخه های SIMATIC PCS 7 V8.1 قبل از V8.1 به همراه WinCC V7.3 Upd 19

• تمامی نسخه های SIMATIC PCS 7 V8.2قبل از V8.2 SP1 به همراه WinCC V7.4 SP1Upd11

• تمامی نسخه های SIMATIC PCS 7 V9.0 قبل از V9.0 SP2 به همراه WinCC V7.4 SP1Upd11

• تمامی نسخه های SIMATIC WinCC (TIA Portal) V13

• تمامی نسخه های SIMATIC WinCC (TIA Portal) V14

• تمامی نسخه های SIMATIC WinCC (TIA Portal) V15

• تمامی نسخه های SIMATIC WinCC Runtime Professional V13

• تمامی نسخه های SIMATIC WinCC Runtime Professional V14 قبل از V14.1 Upd 11

• تمامی نسخه های SIMATIC WinCC Runtime Professional V15 قبل از V15.1 Upd 3

• نسخه SIMATIC WinCC V7.2 و همه نسخه های قبل از آن

• تمامی نسخه های SIMATIC WinCC V7.3 قبل از V7.3 Upd 19

• تمامی نسخه های SIMATIC WinCC V7.4 قبل از V7.4 SP1 Upd 11

• تمامی نسخه های SIMATIC WinCC V7.5 قبل از V7.5 Upd 3

جهت رفع این آسیب پذیری به نکات زیر توجه فرمایید:

بروز رسانی های زیر توسط Siemens منتشر شده که در آن ها این آسیب پذیری مرتفع شده است :

• SIMATIC WinCC Runtime Professional v14: Update to v14.1 Upd 11

• SIMATIC WinCC Runtime Professional v15: Update to v15.1 Upd 3

• SIMATIC PCS7 v8.1: Update WinCC to v7.3 Upd 19

• SIMATIC PCS7 v9.0: Update WinCC to v7.4 SP1 Upd 11

• SIMATIC WinCC v7.3: Update WinCC to v7.3 Upd 19

• SIMATIC PCS7 v8.2: Update WinCC to v7.4 SP1 Upd 11

• SIMATIC WinCC v7.4: Update WinCC to v7.4 SP1 Upd 11

• SIMATIC WinCC v7.5: Update WinCC to v7.5 Upd 3