西门子LOGO! V8.3 BM电磁干扰注入漏洞(CVE-2022-42784)安全公告

关键信息 漏洞描述 漏洞编号: SSA-844582 受影响产品: LOGO! V8.3 BM (包括SIPLUS变体) 漏洞类型: 电磁干扰注入 影响: 攻击者可以利用电磁干扰注入来读取和调试固件，包括内存的篡改。进一步的行动可能允许注入由LOGO! V8.3产品CA签名的公共密钥。 影响范围 受影响产品版本: LOGO! V8.3 BM 受影响产品: SIPLUS LOGO! V8.3 BM 解决方案 当前解决方案: 目前没有计划的修复 建议措施: 参见“工作区和缓解措施”部分的建议。 工作区和缓解措施 建议措施: - 使用HTTPS通信仅在受信任的网络中，不包含未知网络设备。 - 如果可能，直接连接基模块与LOGO! Soft Comfort和Web浏览器。 通用安全建议 建议措施: - 使用HTTPS通信仅在受信任的网络中，不包含未知网络设备。 - 如果可能，直接连接基模块与LOGO! Soft Comfort和Web浏览器。 产品描述 产品: LOGO! V8.3 BM (包括SIPLUS变体) 产品版本: V8.3 BM 漏洞CVE-2022-42784 描述: 影响设备的电磁干扰注入。这可能允许攻击者读取和调试固件，包括内存的篡改。进一步的行动可能允许注入由产品CA签名的公共密钥。 CVSS评分: 7.6 向量: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C CWE: CWE-1319: Improper Protection against Electromagnetic Fault Injection (EM-FI) 承认 感谢: - Sebastien Leger 报告了此漏洞。 补充信息 已发布的新硬件版本: - LOGO! 12/24RCE (6ED1052-1MD08-0BA2) - LOGO! 12/24RCEo (6ED1052-2MD08-0BA2) - LOGO! 24CE (6ED1052-1CC08-0BA2) - LOGO! 24CEo (6ED1052-2CC08-0BA2) - LOGO! 24RCE (6ED1052-1HB08-0BA2) - LOGO! 24RCEo (6ED1052-2HB08-0BA2) - LOGO! 230RCE (6ED1052-1FB08-0BA2) - LOGO! 230RCEo (6ED1052-2FB08-0BA2) - SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA2) - SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA2) 历史数据 版本: V1.0 (2023-12-12) 更新: 添加了关于SIPLUS LOGO!新硬件版本的信息。 条款和使用 条款和使用: Siemens Security Advisory受Siemens的许可条款或先前与Siemens同意的其他适用协议的约束。在适用的情况下，Siemens Security Advisory的条款和使用条件（https://www.siemens.com/terms_of_use）将适用。在冲突的情况下，许可条款将优先于条款和使用条件。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

西门子LOGO! V8.3 BM电磁干扰注入漏洞(CVE-2022-42784)安全公告

目标达成感谢每一位支持者 — 我们达成了 100% 目标！