ICS Patch Tuesday (październik 2025): łatki od Siemens, Schneider Electric, Rockwell, ABB i Phoenix Contact – co musisz zrobić dziś - Security Bez Tabu

ICS Patch Tuesday (październik 2025): łatki od Siemens, Schneider Electric, Rockwell, ABB i Phoenix Contact – co musisz zrobić dziś

Wprowadzenie do problemu / definicja luki

Tegoroczny ICS Patch Tuesday (15 października 2025 r.) przyniósł serię biuletynów bezpieczeństwa od czołowych dostawców OT/ICS. Najważniejsze: krytyczne błędy w produktach Siemens (TeleControl/ET 200SP, SiPass), poprawki Rockwell (m.in. FactoryTalk, NAT router 1783-NATR, moduły 1715), aktualizacje ABB (B&R) oraz Phoenix Contact (QUINT4 UPS, CHARX SEC-3xxx). Część problemów umożliwia zdalne, nieautoryzowane działania, w tym pozyskanie skrótów haseł, obejście uwierzytelniania, a nawet modyfikację konfiguracji urządzeń.

W skrócie

  • Siemens: krytyczne luki w SIMATIC ET 200SP CP (brak wymaganego uwierzytelnienia dla połączeń konfiguracyjnych) oraz TeleControl Server Basic (ujawnienie skrótów haseł); dodatkowo wiele poważnych usterek w SiPass integrated i poprawki dla Solid Edge.
  • Rockwell: nowe i zaktualizowane porady dot. m.in. FactoryTalk (priv-esc, DoS/XXE), 1783-NATR (krytyczne problemy auth/NAT) oraz 1715 EtherNet/IP (DoS).
  • ABB (B&R): seria porad dot. Automation Runtime SDM, MConfig i innych komponentów.
  • Phoenix Contact: zestaw podatności w QUINT4-UPS EIP (DoS, wyciek poświadczeń) i CHARX SEC-3xxx (command injection z uprawnieniami root).
  • Moxa: październikowe porady dot. twardo zakodowanych kluczy SSH i słabych szyfrów w serii TRC-2190.

Kontekst / historia / powiązania

Patch Tuesday dla ICS/OT konsoliduje ogłoszenia wielu vendorów, co pomaga działom OT skoordynować okna serwisowe. Ten cykl przyniósł ponad 20 biuletynów, a najgłośniejsze poprawki dotyczą produktów wdrażanych w segmentach: energetyka, produkcja dyskretna, automatyka budynkowa i e-mobilność. SecurityWeek podsumował je zbiorczo, a szczegóły techniczne potwierdzają portale producentów oraz CERT-y branżowe.

Analiza techniczna / szczegóły luki

Siemens

  • SIMATIC ET 200SP Communication ProcessorsCVE zbiorcze, CVSS 9.8/9.3: luka w uwierzytelnianiu umożliwia nieautoryzowany dostęp do danych konfiguracyjnych z sieci; wymaga aktualizacji wg SSA-486936.
  • TeleControl Server Basic – podatność ujawniająca hash’e haseł użytkowników, co może umożliwić późniejsze logowanie i operacje na bazie; wymaga aktualizacji do wersji łatającej gałąź 3.1.2.x.
  • SiPass integrated (< 3.0)łańcuch błędów pozwalających atakującemu m.in. przejąć konta, manipulować danymi i wykonać kod po stronie serwera.

Rockwell Automation

  • Zestaw porad dla FactoryTalk (Linx, View ME/PanelView Plus 7, ViewPoint) dot. eskalacji uprawnień i DoS; dodatkowo poprawki dla 1783-NATR (uwierzytelnianie i modyfikacja reguł NAT) i 1715 EtherNet/IP (DoS). Szczegółowe wyliczenie luk i produktów – w przeglądzie Patch Tuesday.

ABB (B&R)

  • Automation Runtime – SDM: zestaw problemów (m.in. przejęcie sesji/kod), a także inne świeże biuletyny (np. MConfig – ujawnianie haseł w czystym tekście). Lista i dokumenty PDF/CSAF dostępne w portalu ABB/B&R.

Phoenix Contact

  • QUINT4-UPS EIP – wiele CVE: od DoS wywoływanego zdalnie po pozyskanie poświadczeń;
  • CHARX SEC-3xxxcommand injection z root w firmware (zalecana aktualizacja do FW 1.7.4 wg najnowszej noty CERT@VDE).

Moxa

  • TRC-2190 – poprawki dotyczą twardo zakodowanych kluczy SSH i problemów kryptograficznych (SWEET32/średnia siła szyfrów).

Praktyczne konsekwencje / ryzyko

  • Utrata integralności i dostępności systemów: DoS na modułach sieciowych/UPS może wstrzymać komunikację lub zasilanie linii technologicznej.
  • Nieautoryzowana konfiguracja/sterowanie: luki auth (Siemens ET 200SP, Rockwell 1783-NATR) pozwalają modyfikować parametry sieci/urządzeń.
  • Przejęcie kont i eskalacja uprawnień: SiPass oraz FactoryTalk (wybrane komponenty) umożliwiają impersonację i wykonanie kodu.
  • Łańcuch ataku od IT do OT: słabe SSH/certyfikaty (Moxa) ułatwiają rozpoznanie i pivot na segment OT.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytetyzuj:
    • Krytyczne: Siemens ET 200SP CP, TeleControl Server Basic, Phoenix Contact CHARX, Rockwell 1783-NATR / 1715.
  2. Zaplanuj okna serwisowe i zastosuj łatki/aktualizacje firmware zgodnie z poradami producentów (Siemens ProductCERT, ABB/B&R, Phoenix Contact PSIRT).
  3. Zredukuj ekspozycję: segmentacja sieci (L3/L2), ACL, zamknięcie interfejsów konfiguracyjnych na CP/serwerach HMI/SCADA, firewall dla CHARX (zalecenie producenta).
  4. Zarządzaj poświadczeniami: natychmiastowa rotacja haseł / wyłączenie kont domyślnych, wymuszenie MFA tam, gdzie dostępne; audyt wycieków hashy (TeleControl).
  5. Twardy hardening: wyłączenie zbędnych usług (np. SDM w B&R jeśli nieużywany), ujednolicenie konfiguracji SSH/kryptografii, monitoring XXE/DoS na usługach webowych (FactoryTalk ViewPoint).
  6. Detekcja i reagowanie: reguły IDS/IPS dla Modbus/TCP, CIP, OPC UA; logowanie zmian NAT/konfiguracji; playbooki IR dla utraty zasilania/UPS. (ogólne dobre praktyki OT)

Różnice / porównania z innymi przypadkami

  • Brak uwierzytelniania vs. słabe szyfry: ET 200SP/1783-NATR to logiczne obejście kontroli dostępu, podczas gdy Moxa TRC-2190 to słabość kryptograficzna obniżająca próg wejścia dla MITM.
  • Serwery dostępu fizycznego (SiPass) vs. komponenty sieciowe (1715/CP/NAT): pierwsze grozi przejęciem tożsamości i RCE w aplikacji, drugie – trwałym zakłóceniem komunikacji/sterowania.

Podsumowanie / kluczowe wnioski

  • Październikowy Patch Tuesday w OT/ICS to krytyczne poprawki, których wdrożenie powinno być priorytetem w tym tygodniu.
  • Skup się na: Siemens ET 200SP/TeleControl/SiPass, Rockwell FactoryTalk & urządzenia sieciowe, Phoenix Contact QUINT4 & CHARX, ABB/B&R SDM, Moxa TRC-2190.
  • Poza łataniem, segmentacja + hardening + monitoring znacząco ograniczają ryzyko eksploatacji.

Źródła / bibliografia

  1. SecurityWeek – zbiorcze podsumowanie ICS Patch Tuesday (15.10.2025). (SecurityWeek)
  2. Siemens ProductCERT – SSA-486936 (SIMATIC ET 200SP CP – authentication vuln). (cert-portal.siemens.com)
  3. Siemens ProductCERT – SSA-599451 (SiPass integrated < 3.0 – multiple vulns). (cert-portal.siemens.com)
  4. CERT@VDE – Advisories – Phoenix Contact QUINT4-UPS EIP i CHARX SEC-3xxx (CVE pakiet + rekomendacje). (certvde.com)
  5. ABB/B&R – Cyber Security: Alerts and Notifications – B&R Automation Runtime SDM, MConfig, EIBPORT (październik 2025). (ABB Group)