工業巨頭西門子（Siemens）和施耐德電氣（Schneider Electric）當地時間周二發布了18條安全警告，解決了影響其產品的總共50多個漏洞。供應商提供了補丁、緩解措施和一般安全建議，以降低遭遇攻擊風險。

　　西門子

　　工業巨頭西門子當地時間8月10日發布了2021年8月補丁周的10個新安全警告，它們總共涵蓋了32個漏洞。

　　根據他們指定的嚴重程度，最重要的建議是DNS相關漏洞“NAME:WRECK”對公司SGT工業燃氣輪機的影響。這已經不是西門子第一次就NAME:WRECK缺陷對其產品的影響發布安全咨詢建議了。

　　西門子的另一項咨詢建議描述了其SIMATIC CP 1543-1和CP 1545-1設備的ProFTPD組件中的幾個嚴重漏洞。這些安全漏洞允許攻擊者遠程獲取敏感信息或執行任意代碼。

　　這家德國工業巨頭的SIMATIC S7-1200PLC缺少認證的缺陷被評為高級別。攻擊者可以利用該漏洞繞過認證，將任意程序下載到PLC中。

　　一份描述JT2Go和Teamcenter Visualization中的漏洞的建議涵蓋了7個可用于DoS攻擊、信息泄露或遠程代碼執行的漏洞。它們的利用包括讓目標用戶打開一個專門制作的文件。

　　針對JT2Go和Teamcenter Visualization的單獨建議描述了兩個嚴重程度較高的缺陷，它們可能導致DoS或任意代碼執行，以及一個中度嚴重程度較高的問題，它們可能導致信息泄露。針對這些產品的警告通常針對許多cve，因為缺陷是相似的，但它們是使用不同的文件格式觸發的。

　　另一份涵蓋了許多CVE（準確地說是十幾個）的咨詢建議，描述了英特爾產品中的漏洞對西門子工業系統的影響。西門子已經發布了幾個受影響產品的更新，并正在為其余產品開發BIOS補丁。

　　在Solid Edge產品中，西門子修補了兩個高度嚴重的代碼執行漏洞，用戶可以利用這兩個漏洞打開專門制作的文件。

　　該公司解決的最后一個高級別缺陷是影響SINEC NMS（網絡管理系統）的操作系統命令注入問題。然而，利用需要管理權限。

　　西門子是工業控制系統漏洞的大戶，2020全年共被披露有CVE編號漏洞101個，2021年截止目前已披露CVE編號漏洞176個（美國NVD漏洞庫數據），基本上是漏洞數量的排行老大。

　　施耐德電氣

　　施耐德電氣（Schneider Electric）當地時間8月10日發布了八份新的安全警告，涵蓋了總共25個漏洞。

　　這家工業巨頭發布的其中兩份警告，描述Windows漏洞對其NTZ Mekhanotronika Rus控制面板的影響。一個建議是針對HTTP協議棧遠程代碼執行漏洞，微軟在5月修補了該漏洞；第二個建議是針對與Windows Print Spooler服務相關的兩個問題，包括臭名昭著的PrintNightmare漏洞。

　　另一份報告描述了使用CODESYS工業自動化軟件帶來的三個嚴重問題。這些缺陷影響了施耐德和其他幾家主要供應商的工業控制系統（ICS）。

　　此外，還對可能導致DoS或未經授權訪問的Harmony HMI漏洞、Pro-face GP-Pro EX HMI屏幕編輯器和邏輯編程軟件中的特權提升問題以及AccuSine電源穩定產品中的信息泄露漏洞進行了高級別評級。

　　施耐德還發布了一份關于影響AT&T實驗室壓縮機（XMilI）和解壓器（XDemill）公用設施的十幾個漏洞的建議，這些漏洞用于該公司的EcoStruxure和SCADAPack產品。AT&T實驗室不再支持受影響的軟件，因此供應商不會發布補丁，但施耐德確實計劃在未來自己的產品中解決這個問題。思科Talos的研究人員發現了這些漏洞，并披露了每個漏洞的技術細節。

　　施耐德電器2020年共被披露CVE編號的漏洞88個（美國國家漏洞庫NVD數據）。2021年截止目前已被披露66個CVE編號漏洞。