راهکار پیشنهادی Siemens برای جلوگیری از سوءاستفاده از این آسیب پذیری ها در محصولاتی که هنوز به روزرسانی برای آنها ارائه نشده است، محدود کردن دسترسی به محصول آسیب پذیر میباشد. لذا توصیه میشود، چنانچه یکی از محصولات آسیبپذیری Siemens را که هنوز به روزرسانی نشده است، استفاده میکنید؛ سریعا دسترسی به محصول را به شبکه داخلی یا شبکه VPN و فقط به آدرسهای IP معتبر محدود نمایید.
جدول 1 محصولات از Siemens که تحت آسیب پذیریهای TightVNC (v1.X) قرار دارند و راه حل در نظر گرفته شده برای این محصولات را نمایش می دهد.
جدول 1- محصولات تحت تاثیر آسیبپذیری
محصول تحت تاثیر آسیب پذیری |
راه حل |
SIMATIC HMI Comfort Outdoor Panels 7” and 15” (شامل انواع SIPLUS) تمام نسخه های قبل از Version 16 update 3 |
به روزرسانی SIMATIC WinCC (TIA Portal) به نسخه V16 Update 3 یا نسخه های جدیدتر و سپس به روزرسانی پنل به V16 Update 3 یا نسخه های جدیدتر |
SIMATIC HMI Comfort Panel 4” to 22” (شامل انواع SIPLUS) تمام نسخه های قبل از Version 16 update 3 |
به روزرسانی SIMATIC WinCC (TIA Portal) به نسخه V16 Update 3 یا نسخه های جدیدتر و سپس به روزرسانی پنل به V16 Update 3 یا نسخه های جدیدتر |
SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 and KTP900F تمام نسخه های قبل از Version 16 update 3 |
به روزرسانی SIMATIC WinCC (TIA Portal) به نسخه V16 Update 3 یا نسخه های جدیدتر و سپس به روزرسانی پنل به V16 Update 3 یا نسخه های جدیدتر |
SIMATIC ITC1500 v3.1 تمام نسخه ها |
محدود سازی دسترسی به محصول |
SIMATIC ITC1500 v3.1 PRO تمام نسخه ها |
محدود سازی دسترسی به محصول |
SIMATIC ITC1900 v3.1 تمام نسخه ها |
محدود سازی دسترسی به محصول |
SIMATIC ITC1900 v3.1 PRO تمام نسخه ها |
محدود سازی دسترسی به محصول |
SIMATIC ITC2200 v3.1 تمام نسخه ها |
محدود سازی دسترسی به محصول |
SIMATIC ITC2200 v3.1 PRO تمام نسخه ها |
محدود سازی دسترسی به محصول |
SIMATIC WinCC Runtime Advanced تمام نسخه های قبل از Version 16 update 3 |
محدود سازی دسترسی به محصول |
SIMATIC WinCC Runtime Professional تمام نسخه های قبل از Version 16 update 3 |
محدود سازی دسترسی به محصول |
سه مورد از آسیبپذیریهای TightVNC دارای درجه اهمیت بحرانی و یک مورد دارای درجه اهمیت بالا است. لیست آسیبپذیریهای TightVNC در جدول 2 ارائه شده است.
جدول 2- آسیبپذیریهای TightVCN
شناسه آسیب پذیری |
نوع آسیب پذیری |
نسخه های تحت تاثیر |
شدت آسیب پذیری |
اجرای کد از راه دور |
نسخه 1.3.10 |
9.8 |
|
انکار سرویس |
نسخه 1.3.10 |
9.8 |
|
اجرای کد از راه دور |
نسخه 1.3.10 |
7.5 |
|
اجرای کد از راه دور |
نسخه 1.3.10 |
9.8 |
منبع:
https://cert-portal.siemens.com/productcert/pdf/ssa-478893.pdf