Siemens TIA Administrator安全漏洞安全通告

发布时间 2019-07-15

漏洞编号和级别


CVE编号:CVE-2019-10915,危险级别:高危,CVSS分值:官方未评定


影响版本


受影响的版本


Siemens TIA Administrator 1.0 SP1 Upd1之前版本。


漏洞概述


西门子App平台STEP 7 TIA Portal中发现了一个新的漏洞(CVE-2019-10915),该平台用于维护核电站等大型关键基础设施的工业控制系统。TIA Administrator 1.0 SP1 Upd1之前版本中所集成的web应用程序(TIA Administrator)存在安全漏洞。攻击者可利用该漏洞进行网络间谍活动、映射网络、破坏和泄露数据,也可修改系统代码和逻辑。远程攻击者可以通过直接向服务器发送WebSocket命令来绕过HTTP身份验证并访问所有管理员功能。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://cert-portal.siemens.com/productcert/pdf/ssa-721298.pdf


参考链接 


http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201907-692