### 关键信息 #### 漏洞描述 - **漏洞编号**: SSA-844582 - **受影响产品**: LOGO! V8.3 BM (包括SIPLUS变体) - **漏洞类型**: 电磁干扰注入 - **影响**: 攻击者可以利用电磁干扰注入来读取和调试固件,包括内存的篡改。进一步的行动可能允许注入由LOGO! V8.3产品CA签名的公共密钥。 #### 影响范围 - **受影响产品版本**: LOGO! V8.3 BM - **受影响产品**: SIPLUS LOGO! V8.3 BM #### 解决方案 - **当前解决方案**: 目前没有计划的修复 - **建议措施**: 参见“工作区和缓解措施”部分的建议。 #### 工作区和缓解措施 - **建议措施**: - 使用HTTPS通信仅在受信任的网络中,不包含未知网络设备。 - 如果可能,直接连接基模块与LOGO! Soft Comfort和Web浏览器。 #### 通用安全建议 - **建议措施**: - 使用HTTPS通信仅在受信任的网络中,不包含未知网络设备。 - 如果可能,直接连接基模块与LOGO! Soft Comfort和Web浏览器。 #### 产品描述 - **产品**: LOGO! V8.3 BM (包括SIPLUS变体) - **产品版本**: V8.3 BM #### 漏洞CVE-2022-42784 - **描述**: 影响设备的电磁干扰注入。这可能允许攻击者读取和调试固件,包括内存的篡改。进一步的行动可能允许注入由产品CA签名的公共密钥。 - **CVSS评分**: 7.6 - **向量**: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C - **CWE**: CWE-1319: Improper Protection against Electromagnetic Fault Injection (EM-FI) #### 承认 - **感谢**: - Sebastien Leger 报告了此漏洞。 #### 补充信息 - **已发布的新硬件版本**: - LOGO! 12/24RCE (6ED1052-1MD08-0BA2) - LOGO! 12/24RCEo (6ED1052-2MD08-0BA2) - LOGO! 24CE (6ED1052-1CC08-0BA2) - LOGO! 24CEo (6ED1052-2CC08-0BA2) - LOGO! 24RCE (6ED1052-1HB08-0BA2) - LOGO! 24RCEo (6ED1052-2HB08-0BA2) - LOGO! 230RCE (6ED1052-1FB08-0BA2) - LOGO! 230RCEo (6ED1052-2FB08-0BA2) - SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA2) - SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA2) #### 历史数据 - **版本**: V1.0 (2023-12-12) - **更新**: 添加了关于SIPLUS LOGO!新硬件版本的信息。 #### 条款和使用 - **条款和使用**: Siemens Security Advisory受Siemens的许可条款或先前与Siemens同意的其他适用协议的约束。在适用的情况下,Siemens Security Advisory的条款和使用条件(https://www.siemens.com/terms_of_use)将适用。在冲突的情况下,许可条款将优先于条款和使用条件。