【漏洞预警】Siemens SIMATIC WinCC OA客户端身份验证漏洞(CVE-2022-33139)

admin 2022年7月2日01:35:41安全漏洞【漏洞预警】Siemens SIMATIC WinCC OA客户端身份验证漏洞(CVE-2022-33139)已关闭评论14 views730字阅读2分26秒阅读模式

 01



漏洞描述




苏州兰吉尔自控系统有限公司,专注楼宇自控16年!是西门子(中国)有限公司楼宇科技集团授权的核心一级经销商,她坐落在苏州工业园区唯新路58号 清华启迪时尚科技园花园别墅式办公楼,经销西门子(SIEMENS) 的各种DDC控制器,传感器,电动阀电动阀执行机构。公司控股子公司苏州兰迪斯机电工程有限公司提供专业空调自控集成解决方案,拥有多项自有知识产权,并能提供p3实验室,高精度恒温恒湿等咨询。

Siemens SIMATIC WinCC OA存在安全漏洞,该漏洞源于服务器端身份验证(SSA)和Kerberos身份验证均未启用时,应用程序仅使用客户端身份验证。攻击者利用该漏洞可以冒充其他用户或在未经身份验证的情况下利用客户端-服务器协议。


 02

漏洞危害

   


在 SIMATIC WinCC OA V3.16(默认配置的所有版本)、SIMATIC WinCC OA V3.17(非默认配置的所有版本)、SIMATIC
WinCC OA V3.18(非默认配置的所有版本)中发现了一个漏洞)。当服务器端身份验证 (SSA) 和 Kerberos 身份验证均未启用时,受影响的应用程序仅使用客户端身份验证。在这种配置中,攻击者可以冒充其他用户或在未经身份验证的情况下利用客户端-服务器协议。


 03

影响范围



Siemens SIMATIC WinCC OA 3.17

Siemens SIMATIC WinCC OA 3.16

Siemens SIMATIC WinCC OA 3.18


04

漏洞等级

高危


 05

修复方案

用户可参考如下供应商提供的安全公告获得补丁信息:

https://cert-portal.siemens.com/productcert/html/ssa-111512.html






END

长按识别二维码,了解更多


图片

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月2日01:35:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】Siemens SIMATIC WinCC OA客户端身份验证漏洞(CVE-2022-33139) http://cn-sec.com/archives/1150827.html