西门斯跨点请求伪造(CSRF)(CVE-2021-37725)

高位可租OT安全插件ID501018

简表

远程OT资产受脆弱性影响

描述性

远程跨站请求仿真漏洞在阿鲁巴SD-WAN软件网关中被发现阿鲁巴操作系统版本:8.6.0.4-2.2.0.4前88.0.1、8.7.1.2、8.6.0.8、8.5.0.12、8.3.0.15阿鲁巴为阿鲁巴SD-WAN软件网关和ArtiOS发布补丁解决安全漏洞

插件只对Tenable.ot工作
网站s/www.yyueer.com/products/tenable-ot获取更多信息

求解

下文原由网络安全基础设施安全局创建原创可见于CISA.gov

西门子推荐SACLACE W1750升级到8.7.1.3版或以后

SCALCESW1750D:8719全版和前版(仅受CVE-2019-5318影响,目前没有计划修复

SCALESW1750版本从8.7.1.3更新到9.7.1.8更新到9.7.1.9版或后版(仅受CVE-2019-5318、CVE-2020-37719、CVE-2021-37717、CVE-2021-37718、CVE-2021-37720、CVE-2021-37721、CVE-2021-37722、CVE-2021-37728影响)。

西门子识别出下列具体变通和缓冲用户可应用来减少风险:

禁止访问 Artios命令行接口
禁止访问Urbos网络管理接口
禁止访问来自所有不可信用户的移动导线接口
增强PAPI安全特征需要时请联系TAC求援
开发需要物理访问严格受控物理环境控制者风险低
- 尽量减少攻击者利用这些漏洞的可能性,阿鲁巴建议限制控制器/Gateways访问点之间的通信方式有2段/VLAN专用程序,或如果控制器/Gateways访问点跨3层边界程序有防火墙限制这些授权设备通信程序此外,增强PAPI安全特征将防止PAPI特有漏洞被利用联系阿鲁巴支持配置辅助
APConsole或局域调试主页用户可用拆分或桥接作用访问设置ACL限制访问LD主页可防止这种情况发生,有效防止这一问题详细指令实施ACL

西门子强烈建议保护网络访问带适当机制的设备西门子建议在受保护IT环境中操作设备,建议根据西门子工业安全操作指南配置环境并遵循产品手册中的建议

详情请参阅HTML或CSAF中的Siemens安全咨询SSA-280624