工业巨头西门子（Siemens）和施耐德电气（Schneider Electric）当地时间周二发布了18条安全警告，解决了影响其产品的总共50多个漏洞。供应商提供了补丁、缓解措施和一般安全建议，以降低遭遇攻击风险。

　　西门子

　　工业巨头西门子当地时间8月10日发布了2021年8月补丁周的10个新安全警告，它们总共涵盖了32个漏洞。

　　根据他们指定的严重程度，最重要的建议是DNS相关漏洞“NAME:WRECK”对公司SGT工业燃气轮机的影响。这已经不是西门子第一次就NAME:WRECK缺陷对其产品的影响发布安全咨询建议了。

　　西门子的另一项咨询建议描述了其SIMATIC CP 1543-1和CP 1545-1设备的ProFTPD组件中的几个严重漏洞。这些安全漏洞允许攻击者远程获取敏感信息或执行任意代码。

　　这家德国工业巨头的SIMATIC S7-1200PLC缺少认证的缺陷被评为高级别。攻击者可以利用该漏洞绕过认证，将任意程序下载到PLC中。

　　一份描述JT2Go和Teamcenter Visualization中的漏洞的建议涵盖了7个可用于DoS攻击、信息泄露或远程代码执行的漏洞。它们的利用包括让目标用户打开一个专门制作的文件。

　　针对JT2Go和Teamcenter Visualization的单独建议描述了两个严重程度较高的缺陷，它们可能导致DoS或任意代码执行，以及一个中度严重程度较高的问题，它们可能导致信息泄露。针对这些产品的警告通常针对许多cve，因为缺陷是相似的，但它们是使用不同的文件格式触发的。

　　另一份涵盖了许多CVE（准确地说是十几个）的咨询建议，描述了英特尔产品中的漏洞对西门子工业系统的影响。西门子已经发布了几个受影响产品的更新，并正在为其余产品开发BIOS补丁。

　　在Solid Edge产品中，西门子修补了两个高度严重的代码执行漏洞，用户可以利用这两个漏洞打开专门制作的文件。

　　该公司解决的最后一个高级别缺陷是影响SINEC NMS（网络管理系统）的操作系统命令注入问题。然而，利用需要管理权限。

　　西门子是工业控制系统漏洞的大户，2020全年共被披露有CVE编号漏洞101个，2021年截止目前已披露CVE编号漏洞176个（美国NVD漏洞库数据），基本上是漏洞数量的排行老大。

　　施耐德电气

　　施耐德电气（Schneider Electric）当地时间8月10日发布了八份新的安全警告，涵盖了总共25个漏洞。

　　这家工业巨头发布的其中两份警告，描述Windows漏洞对其NTZ Mekhanotronika Rus控制面板的影响。一个建议是针对HTTP协议栈远程代码执行漏洞，微软在5月修补了该漏洞；第二个建议是针对与Windows Print Spooler服务相关的两个问题，包括臭名昭著的PrintNightmare漏洞。

　　另一份报告描述了使用CODESYS工业自动化软件带来的三个严重问题。这些缺陷影响了施耐德和其他几家主要供应商的工业控制系统（ICS）。

　　此外，还对可能导致DoS或未经授权访问的Harmony HMI漏洞、Pro-face GP-Pro EX HMI屏幕编辑器和逻辑编程软件中的特权提升问题以及AccuSine电源稳定产品中的信息泄露漏洞进行了高级别评级。

　　施耐德还发布了一份关于影响AT&T实验室压缩机（XMilI）和解压器（XDemill）公用设施的十几个漏洞的建议，这些漏洞用于该公司的EcoStruxure和SCADAPack产品。AT&T实验室不再支持受影响的软件，因此供应商不会发布补丁，但施耐德确实计划在未来自己的产品中解决这个问题。思科Talos的研究人员发现了这些漏洞，并披露了每个漏洞的技术细节。

　　施耐德电器2020年共被披露CVE编号的漏洞88个（美国国家漏洞库NVD数据）。2021年截止目前已被披露66个CVE编号漏洞。