Την προηγούμενη εβδομάδα, η Siemens ενημέρωσε τους πελάτες της ότι ορισμένες από τις λύσεις ανάπτυξης προϊόντων της επηρεάζονται από δώδεκα ευπάθειες, τις οποίες χάκερς μπορούν να εκμεταλλευτούν για να εκτελέσουν αυθαίρετα κώδικα με κακόβουλα αρχεία.
Οι ευπάθειες ανακαλύφθηκαν από μερικούς ερευνητές και η αποκάλυψή τους συντονίστηκε μέσω του Zero Day Initiative (ZDI) της Trend Micro και της CISA, η οποία δημοσίευσε τις δικές της συμβουλευτικές. Τα προϊόντα που επηρεάζονται, έχουν αναπτυχθεί από τη Siemens Digital Industries Software, η οποία ειδικεύεται στις λύσεις διαχείρισης κύκλου ζωής προϊόντων (PLM).
Η Siemens και η CISA δημοσίευσαν μία συμβουλευτική για 18 ευπάθειες που επηρεάζουν το Siemens JT2Go, ένα εργαλείο προβολής 3D για JT data (τυποποιημένη μορφή ISO 3D) και το Teamcenter Visualization, το οποίο παρέχει λύσεις οπτικοποίησης σε οργανισμούς για έγγραφα, σχέδια 2D και μοντέλα 3D. Επιπλέον, δημοσιεύθηκε μια δεύτερη συμβουλευτική για έξι ευπάθειες που επηρεάζουν το Siemens Solid Edge, μια λύση που παρέχει εργαλεία software για σχεδιασμό 3D, προσομοίωση και κατασκευή.
Οι περισσότερες ευπάθειες είναι υψηλής σοβαρότητας και μπορούν να οδηγήσουν σε αυθαίρετη εκτέλεση κώδικα στο πλαίσιο της στοχευμένης διαδικασίας. Μια ευπάθεια μπορεί να οδηγήσει σε αποκάλυψη πληροφοριών και έχει χαρακτηριστεί ως «μεσαίας» σοβαρότητας.
Επιπλέον, οι ευπάθειες εκτέλεσης κώδικα σχετίζονται με μη κατάλληλη επικύρωση των δεδομένων που παρέχονται από τον χρήστη κατά την ανάλυση ορισμένων τύπων αρχείων, γεγονός που οδηγεί σε ευπάθεια αλλοίωσης μνήμης. Για να πραγματοποιήσουν μια επίθεση, οι εισβολείς πρέπει να πείσουν τον χρήστη-στόχο να ανοίξει ένα ειδικά κατασκευασμένο αρχείο.
Οι τύποι αρχείων που μπορούν να χρησιμοποιηθούν για την ενεργοποίηση των ευπαθειών είναι τα JT, CG4, CGM, PDF, RGB, TGA, PAR, ASM, PCX, SGI και DFT. Παρόλο που η περιγραφή για όλες τις ευπάθειες είναι παρόμοια, έχει εκχωρηθεί ξεχωριστό αναγνωριστικό CVE σε κάθε παραλλαγή μιας ευπάθειας.
Η Siemens άρχισε να κυκλοφορεί ενημερώσεις κώδικα για τα προϊόντα που επηρεάζονται. Ο γερμανικός βιομηχανικός γίγαντας έχει μοιραστεί λύσεις για εκδόσεις που δεν έχουν ακόμη λάβει διορθώσεις.
Η Siemens κυκλοφόρησε επίσης μερικές συμβουλές που περιγράφουν τις ευπάθειες που βρέθηκαν στους βιομηχανικούς διακόπτες SCALANCE X. Αυτές οι «τρύπες» ασφαλείας, που έχουν αξιολογηθεί ως «κρίσιμες» και «υψηλής σοβαρότητας», μπορούν να εκθέσουν τους διακόπτες σε DoS και man-in-the-middle επιθέσεις.
