西门斯SCACEW1750D输入生成期间不适当中和化WebPage编程(Cross-Site脚本编程)(CVE2018-7064)(CVE2018-7064)

介质可租OT安全插件ID501033

简表

远程OT资产受脆弱性影响

描述性

反射跨站脚本脆弱性表现在一个未经认证的阿鲁巴即时网络接口中攻击者可用此漏洞骗IAP管理员点击链路,然后对即时集群采取行政动作或揭穿会话cookie
工作轮廓:管理员应确认不主动管理系统时退出阿鲁巴即时UI,并使用谨慎点击外部源链接并登录IAP管理接口分辨率:固定在阿鲁巴4.2.4.12、6.5.4.11、8.3.0.6和8.4.0.0

插件只对Tenable.ot工作
网站s/www.yyueer.com/products/tenable-ot获取更多信息

求解

下文原由网络安全基础设施安全局创建原创可见于CISA.gov

西门子推荐用户升级到8.4.0.1版或以后,从下链接下载

https://support.industry.siemens.com/cs/us/en/view/109766816/

西门子识别出用户可应用以降低风险的具体变通办法和缓冲办法如下:

限制访问网络管理接口内部或VPN网络
- 不浏览其他网站,不点击外部链接并认证行政网站接口
应用适当的策略来减缓

西门子强烈建议保护网络访问带适当机制的设备西门子建议环境配置并遵循产品手册中的建议

西门子补充工业安全信息见:

https://www.siemens.com/industrialsecurity

详情见网站Siemens安全咨询SSA-549547

https://www.siemens.com/cert/advisories