ICS Patch Tuesday (styczeń 2026): krytyczne poprawki od Siemens, Schneider Electric, AVEVA i Phoenix Contact - Security Bez Tabu

ICS Patch Tuesday (styczeń 2026): krytyczne poprawki od Siemens, Schneider Electric, AVEVA i Phoenix Contact

Wprowadzenie do problemu / definicja luki

„ICS Patch Tuesday” to nieformalny rytm publikacji biuletynów bezpieczeństwa dla środowisk OT/ICS, zgrywany zwykle z comiesięcznymi wtorkami poprawek w IT. W styczniu 2026 r. duzi dostawcy automatyki przemysłowej opublikowali pakiet advisory obejmujący m.in. obejście autoryzacji (authorization bypass), wstrzyknięcia kodu (code injection) oraz zdalne wykonanie kodu (RCE) – czyli klasy błędów, które w OT potrafią szybko eskalować z „incydentu IT” do problemu ciągłości procesu.

W skrócie

  • Siemens: krytyczny authorization bypass w ekosystemie Industrial Edge (w praktyce możliwość ominięcia uwierzytelniania i podszycia się pod użytkownika).
  • Phoenix Contact: code injection w firmware routerów przemysłowych TC ROUTER / CLOUD CLIENT, oceniany CVSS 8.8; zalecana aktualizacja firmware do wersji naprawiających.
  • AVEVA: biuletyn AVEVA-2026-001 dla Process Optimization (dawniej ROMeo) – zestaw podatności od unauth RCE (CVSS 10.0) po SQLi i problemy z uprawnieniami; rekomendacja upgrade do 2025+ oraz twarde kontrole sieci/ACL.
  • Schneider Electric: cztery advisory, m.in. błąd uprawnień w EcoStruxure Process Expert (CVE-2025-13905) oraz podatności w EcoStruxure Power Build Rapsody (m.in. CVE-2025-13844/13845).

Kontekst / historia / powiązania

W OT rzadko chodzi o „pojedynczy CVE”. Zwykle mamy łańcuch: dostęp sieciowy → słabszy punkt brzegowy (edge/router) → eskalacja uprawnień → ruch boczny do stref krytycznych. Ten styczniowy zestaw advisory dobrze pasuje do tego wzorca:

  • komponenty edge (Siemens Industrial Edge) oraz routery przemysłowe (Phoenix Contact) pojawiają się jako punkty podwyższonego ryzyka, bo stoją na styku IT/OT, często z zarządzaniem zdalnym.
  • oprogramowanie inżynierskie/serwerowe (AVEVA Process Optimization) wnosi klasyczne wektory znane z IT (API, SQL, makra, DLL hijacking), które w środowisku produkcyjnym bywają trudniejsze do „odcięcia” z uwagi na integracje.

Analiza techniczna / szczegóły luki

Siemens: authorization bypass w Industrial Edge (CVE-2025-40805)

Siemens opublikował advisory dla Industrial Edge Device Kit, gdzie podatność CVE-2025-40805 ma ocenę krytyczną (CVSS 10.0). Opis wskazuje na możliwość ominięcia uwierzytelniania i podszycia się pod legalnego użytkownika. W advisory widać też istotny niuans operacyjny: dla wielu wydań „kit” długo nie miał planowanej poprawki, podczas gdy nowsze gałęzie mają już wersje korygujące (np. aktualizacje dla linii V1.24 i V1.25).

Równolegle, w podsumowaniu „ICS Patch Tuesday” wskazano, że ten sam krytyczny problem dotyczy również Industrial Edge Devices (oddzielny biuletyn) – co wzmacnia tezę, że problem jest „systemowy” dla ekosystemu edge.

Phoenix Contact: code injection w upload-config (CVE-2025-41717, CVSS 8.8)

Phoenix Contact (we współpracy z VDE CERT) opisał podatność CVE-2025-41717: wstrzyknięcie kodu na endpointzie upload-config w firmware routerów przemysłowych TC ROUTER / CLOUD CLIENT. Scenariusz zakłada nadużycie przez uprzywilejowanego (high privileged) użytkownika, a wpływ oceniono jako potencjalnie pełny kompromis CIA (poufność, integralność, dostępność). Dostawca wskazuje wersje firmware naprawiające (m.in. 3.08.8, 3.07.7 oraz 1.06.23 zależnie od modelu)

AVEVA: Process Optimization (ROMeo) – pakiet podatności, w tym unauth RCE (CVSS 10.0)

Biuletyn AVEVA-2026-001 dotyczy AVEVA Process Optimization (dawniej ROMeo) 2024.1 i wcześniejszych i jest oceniony jako krytyczny. Kluczowe punkty techniczne:

  • CVE-2025-61937 (CVSS 10.0): nieautoryzowane RCE przez API, z wykonaniem w kontekście wysokich uprawnień usługi (opis mówi o kompromisie serwera aplikacji modelowej).
  • CVE-2025-64691 (CVSS 9.3): code injection przez makra (TCL macro scripts) i eskalacja uprawnień.
  • CVE-2025-61943 (CVSS 9.3): SQL injection z możliwością osiągnięcia wykonania kodu pod uprawnieniami administracyjnymi SQL Server.
  • CVE-2025-65118 (CVSS 9.3): eskalacja przez DLL hijacking.
  • CVE-2025-64729 / 65117 / 64769: problemy z kontrolą dostępu do plików/projektów, osadzaniem treści (OLE) oraz transmisją w postaci jawnej.

AVEVA rekomenduje upgrade do Process Optimization 2025+ oraz (jako kontrolę tymczasową) restrykcje firewall/ACL i ograniczenie dostępu do usług i plików projektowych; wskazuje też domyślne porty nasłuchu (w tym 8888/8889 dla wariantu TLS).

Schneider Electric: EcoStruxure Process Expert i Power Build Rapsody + komponenty zewnętrzne

Schneider Electric opublikował advisory m.in. dla:

  • EcoStruxure Process Expert: błąd Incorrect Default Permissions (CVE-2025-13905) – typowa baza pod eskalację lub nieautoryzowane działania, jeśli środowisko opiera się na „domyślnych” ACL.
  • EcoStruxure Power Build Rapsody: podatności z możliwością wykonania kodu z użyciem specjalnie spreparowanych plików (w notyfikacjach widać m.in. CVE-2025-13844 i CVE-2025-13845 oraz klasy błędów pamięci typu double free / use-after-free).
  • dodatkowo: powiadomienia o podatnościach w komponentach zewnętrznych używanych przez produkty (m.in. Zigbee, Redis).

Praktyczne konsekwencje / ryzyko

W realnym OT najgroźniejsze są dwie sytuacje:

  1. Przejęcie punktu brzegowego (edge/router) → dostęp do segmentów OT, tunelowanie, pivot do stacji inżynierskich/HMI.
  2. Kompromis serwera aplikacyjnego/inżynierskiego (AVEVA) → manipulacja danymi procesowymi, ustawieniami optymalizacji, projektem (pliki/makra), a w skrajnych przypadkach wpływ na decyzje operacyjne.

W tym zestawie poprawek szczególnie „głośno” brzmi kombinacja: authorization bypass (Siemens) + RCE/SQLi (AVEVA), bo daje ona zarówno wektor wejścia, jak i mocne narzędzia do eskalacji i utrzymania dostępu.

Rekomendacje operacyjne / co zrobić teraz

  1. Inwentaryzacja i mapowanie ekspozycji
    • Znajdź w CMDB/OT-asset inventory: Siemens Industrial Edge / Edge Device Kit, routery Phoenix Contact TC ROUTER/CLOUD CLIENT, AVEVA Process Optimization, Schneider EcoStruxure Process Expert / Power Build Rapsody.
  2. Priorytetyzacja łatek (proponowana kolejność)
    • AVEVA Process Optimization (ze względu na unauth RCE CVSS 10.0) → upgrade do 2025+.
    • Siemens Industrial Edge / Edge Device Kit → aktualizacje gałęzi, które mają poprawki; tam gdzie brak szybkiej łatki, wdrożenie kompensacji (segmentacja, ograniczenie dostępu do paneli/API, MFA/VPN, allowlist IP).
    • Phoenix Contact → aktualizacja firmware do wersji naprawiających, a natychmiastowo: ograniczenie dostępu administracyjnego i importów konfiguracji tylko z zaufanych źródeł.
    • Schneider Electric → aktualizacje zgodnie z notyfikacjami; szczególnie tam, gdzie pliki/projekty krążą między zespołami (ryzyko „złośliwego pliku”).
  3. Kontrole kompensacyjne (gdy patching nie jest natychmiastowy)
    • twarda segmentacja IT/OT, odcięcie zarządzania z Internetu, dostęp tylko przez bastion/VPN + MFA;
    • least privilege dla kont uprzywilejowanych, osobne konta do administrowania, rotacja haseł, audyt uprawnień;
    • dla AVEVA: firewall/ACL na usługach i portach oraz kontrola dostępu do katalogów instalacji i plików projektowych (łańcuch zaufania dla projektów).

Różnice / porównania z innymi przypadkami

  • Phoenix Contact (CVE-2025-41717) wymaga uprzywilejowanego użytkownika, więc „pierwszym” ryzykiem jest kompromitacja konta admina lub nadużycia operacyjne.
  • AVEVA (CVE-2025-61937) to inna liga, bo mowa o RCE bez uwierzytelnienia – tu liczy się redukcja ekspozycji sieciowej i szybki upgrade.
  • Siemens authorization bypass w warstwie edge jest krytyczny, bo urządzenia brzegowe bywają „mostem” do OT (nawet przy dobrej segmentacji), a poprawki zależą od gałęzi wersji.

Podsumowanie / kluczowe wnioski

  • Styczeń 2026 w ICS Patch Tuesday przyniósł mieszankę podatności „brzegowych” (edge/router) i „serwerowych” (optymalizacja procesu), które w łańcuchu mogą dać pełen kompromis środowiska OT.
  • Najpilniejsze działania to: upgrade AVEVA Process Optimization, ograniczenie ekspozycji i aktualizacje w Siemens Industrial Edge, oraz szybkie firmware update dla routerów Phoenix Contact.
  • Jeśli patching jest trudny: segmentacja, restrykcje dostępu administracyjnego, twarde ACL i kontrola obiegu plików/projektów są krytyczne „tu i teraz”.

Źródła / bibliografia

  • SecurityWeek – „ICS Patch Tuesday: Vulnerabilities Fixed by Siemens, Schneider, Aveva, Phoenix Contact” (15.01.2026). (securityweek.com)
  • Siemens ProductCERT – SSA-014678: Authorization Bypass Vulnerability in Industrial Edge Device Kit (13.01.2026). (cert-portal.siemens.com)
  • Schneider Electric – Security Notifications (wpisy z 13.01.2026 dot. m.in. EcoStruxure Process Expert, Power Build Rapsody, Zigbee, ProLeiT). (Schneider Electric)
  • VDE CERT – VDE-2025-073: Phoenix Contact TC ROUTER / CLOUD CLIENT (CVE-2025-41717) (13.01.2026). (CERT@VDE)
  • AVEVA – Security Bulletin AVEVA-2026-001: Process Optimization (formerly ROMeo): Multiple Vulnerabilities (13.01.2026). (aveva.com)