Siemens SIMATIC WinCC OA 安全漏洞

CNNVD-ID编号	CNNVD-202206-2079
CVE编号	CVE-2022-33139
发布时间	2022-06-21
更新时间	2022-06-22
漏洞类型	其他
漏洞来源	Daniel dos Santos and Jos Wetzels from Forecout Technologies reported this vulnerability to CISA.
危险等级	超危
威胁类型	N/A
厂商	N/A

漏洞介绍

Siemens SIMATIC WinCC OA是德国西门子（Siemens）公司的一个功能强大、灵活多样的 SCADA 操作系统。用于控制和监视工业应用。 Siemens SIMATIC WinCC OA V3.16、V3.17、V3.18版本存在安全漏洞，该漏洞源于服务器端身份验证 (SSA) 和 Kerberos 身份验证均未启用时，应用程序仅使用客户端身份验证。攻击者利用该漏洞可以冒充其他用户或在未经身份验证的情况下利用客户端-服务器协议。

漏洞补丁

目前厂商已发布升级了Siemens SIMATIC WinCC OA 安全漏洞的补丁，Siemens SIMATIC WinCC OA 安全漏洞的补丁获取链接： https://cert-portal.siemens.com/productcert/pdf/ssa-111512.pdf

参考网址

来源:MISC

链接：https://cert-portal.siemens.com/productcert/pdf/ssa-111512.pdf
来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/SIMATIC-WinCC-OA-privilege-escalation-via-Client-side-Authentication-38638
来源:us-cert.cisa.gov

链接：https://us-cert.cisa.gov/ics/advisories/icsa-22-172-06

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202206-2079