Группа CERT (ICS-CERT) Министерства внутренней безопасности США, отвечающая за безопасность промышленных систем управления, предупреждает об уязвимостях в промышленной системе управления Siemens WinCC TIA Portal V11.

По имеющейся информации, «дыры» в системе безопасности Siemens WinCC TIA Portal V11, выявленные сразу несколькими сторонними специалистами в области ИБ, не могут эксплуатироваться удалённо, и требуют взаимодействия пользователя с системой.

Выявленные уязвимости включают в себя: небезопасное хранение паролей, неверную проверку вводимых значений, отраженную и постоянную XSS-уязвимость, расщепление HTTP-запроса, внедрение серверного сценария и обход каталога.

Данные уязвимости воздействуют на человеко-машинный интерфейс (HMI).

В настоящее время ICS-CERT не располагает данными о существовании эксплойтов для данных уязвимостей. Эксперты рекомендуют организациям, использующим TIA Portal, обновить программу до 12 версии. В данной версии Siemens закрыла все вышеуказанные уязвимости.