数据安全风险信息报送模板数据安全风险信息

一、数据安全风险信息报送模板数据安全风险信息年月工业和信息化部电子第五研究所发现202211100,西门子工业控制器存在数据安全风险有关情况如下

一、风险基本情况

（一）风险类别和级别风险类别数据泄露、非法访问I风险级别高风险2

（二）风险涉及数据情况涉及数据类型生产制造3涉及数据级别重要数据t涉及数据量暂不确定

（三）风险产生时间年月日20221110

（四）风险范围影响地区北京市影响单位西门子及所有使用相关产品的单位1参考本指引附件1所列举的风险类型2参考本指引附件1判定风险级别3数据类型包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等，可在此基础上进行细分类4数据级别包括核心数据、重要数据、一般数据影响行业机械

（五）风险概述西门子工业控制器多个版本存在跨站点请求伪造漏洞（）攻击者可以利用跨站点请求伪造漏洞，挟制用户在CSRF,当前已登录的应用程序上执行非本意的操作，获取敏感Web数据目前已分配编号，分值为CVE-2022-30694CVSS

6.5o

（六）其他相关信息系统名称西门子工业控制器系统域名（官网地址）地址不涉及IP端口不涉及风险不涉及URL:所属地区不涉及IP所属运营商不涉及IP备案号不涉及ICP风险涉及产品型号版本（通用型风险）5驱动器控制器系列所有版本SIMATIC（SIMATIC ET200pro IM154-8PN/DP CPU6ES7154-）之前的所有版本8AB01-0AB0V3219（SIMATIC ET200pro IM154-8F PN/DP CPU6ES7154-）之前的所有版本8FB01-0AB0§通用型风险主要指可威胁数据安全的漏洞等风险；事件型风险主要指除漏洞等通用型风险之外的，可引发数据安全事件的风险SIMATIC ET200pro IM154-8FX PN/DP CPU6ES7154-之前的所有版本8FX00-0AB0SIMATIC ET200S IM151-8PN/DP CPU6ES7151-之前的所有版本8AB01-0AB0SIMATIC ET200S IM151-8F PN/DP CPU6ES7151-之前的所有版本8FB01-0AB0站所有版本及更高版本SIMATIC PCV

2.1SIMATIC S7-300CPU314C-2PN/DP6ES7314-6EH04-之前的所有版本OABOSIMATIC S7-300CPU315-2PN/DP6ES7315-2EH14-之前的所有版本OABOSIMATIC S7-300CPU315F-2PN/DP6ES7315-2FJ14-之前的所有版本OABOSIMATIC S7-300CPU315T-3PN/DP6ES7315-7TJ1O-之前的所有版本OABOSIMATIC S7-300CPU317-2PN/DP6ES7317-2EK14-之前的所有版本OABOSIMATIC S7-300CPU317F-2PN/DP6ES7317-2FK14-之前的所有版本OABOSIMATIC S7-300CPU317T-3PN/DP6ES7317-7TK10-之前的所有版本OABOSIMATIC S7-300CPU317TF-3PN/DP6ES7317-7UL10-之前的所有版本OABO V3219SIMATIC S7-300CPU319-3PN/DP6ES7318-3EL01-之前的所有版本OABOSIMATIC S7-300CPU319F-3PN/DP6ES7318-3FLO1-之前的所有版本OABO系列包括变SIMATIC S7-400PN/DP V6CPU SIPLUS型所有版本系列包括变SIMATIC S7-400PN/DP V7CPU SIPLUS型所有版本系列包括变型所有SIMATIC S7-1200CPU SIPLUS版本系列包括相关和SIMATIC S7-1500CPU ET200CPU变体所有版本SIPLUS软件控制器所有版本SIMATICS7-1500高级版所有版本SIMATIC S7-PLCSIM运行时高级版所有版本SIMATIC WinCC所有版本SINUMERIKONESIPLUS ET200S IM151-8PN/DP CPU6AG1151-8AB01-之前的所有版本7ABO V3219SIPLUS ET200S IM151-8F PN/DP CPU6AG1151-之前的所有版本8FB01-2AB0V3219SIPLUS S7-300CPU314C-2PN/DP6AG1314-6EH04-之前的所有版本7ABOSIPLUS S7-300CPU315-2PN/DP6AG1315-2EH14-之前的所有版本7ABO V3219SIPLUS S7-300CPU315F-2PN/DP6AG1315-2FJ14-之前的所有版本2ABOSIPLUS S7-300CPU317-2PN/DP6AG1317-2EK14-之前的所有版本7AB0SIPLUS S7-3OO CPU317F-2PN/DP6AG1317-2FK14-之前的所有版本2AB0

二、风险分析风险产生原因西门子工业控制器多个版本存SIMATIC在跨站点请求伪造漏洞攻击者可以利用跨站点请求伪CSRF,造漏洞，挟制用户在当前已登录的应用程序上执行非本Web意的操作，获取敏感数据风险发现方式美国官方预警网站发布了相关预警CISA信息风险判定西门子工业控制器主要用于进行工SIMATIC业生产，广泛应用于冶金、化工、印刷等行业此次发现的风险涉及的产品型号众多，影响范围较大，且西门子的工业控制设备在国内的使用范围较广，可能会影响到重要数据安全，因此风险判定为高ICSC£RTAdvisoriesSiemensWebServerloginPageofIndustrialControllersICSAdvisoryICSA-22-314-02MoreIC$£RTAdvtsoflwSiemensWebServerLoginPageofIndustrialControllersOriginalrekmda o:NovomtMr

10.20223Pmt.TfliMt I『MlOEeILegalNoticeAllinformsbonproducts mhttps;*tVvcetdwov.»C5seproddedMU,*crinformationalpurpct^tonly.TheDepartofHomeUndSecu«yDH$I^e»2pr©»心nyw»rr»nt«e»*fk*ndregMdtAgfinformationcof%Uinedwithin.OHSdoesAO«efiOontcomtercUIproductwsenice.fefefeocedS啦,productwothenMie.FurtherdtscinicMKofCMproductisgovernedbytheTraffkLightProtocolTIPmArkin2mtMh««d«r.Fermor*iMormMionaboiXTIP,w«httpa^/ut-ccrLma^ov/tip/.

1.EXECUTIVESUMMARY•CVSSv

36.5•ATTENTIOM:ExploiuMeRerruxety/lowAttackComplexity•VendorSiemens•Equipment:SIMATICIndustrialControllersandSoftware•VUIrwnbility:CrossSiteRequestForgeryCSRF

三、风险处置建议西门子已发布以下产品的更新，并建议更新至最新版本:SIMATIC ET200pro IM154-8PN/DP CPU6ES7154-）更新至或者以后8AB01-0AB0V3219SIMATIC ET200pro IM154-8F PN/DP CPU6ES7154-）更新至或者以后8FB01-0AB0V3219SIMATIC ET200pro IM154-8FX PN/DP CPU6ES7154-:更新至或者以后8FX00-0AB0SIMATIC ET200S IM151-8PN/DP CPU6ES7151-:更新至或者以后8AB01-0AB0SIMATIC ET200S IM151-8F PN/DP CPU6ES7151-:更新至或者以后8FB01-0AB0V3219SIMATIC S7-300CPU314C-2PN/DP6ES7314-6EH04-SIMATIC S7-300CPU315-2PN/DP6ES7315-2EH14-更新至或者以后OABOSIMATIC S7-300CPU315F-2PN/DP6ES7315-2FJ14-更新至新或者以后OABO V

3.

2.SIMATIC S7-300CPU315T-3PN/DP6ES7315-7TJ1O-更新至或者以后OABO V3219SIMATIC S7-300CPU317-2PN/DP6ES7317-2EK14-更新至或者以后OABO:SIMATIC S7-300CPU317F-2PN/DP6ES7317-2FK14-更新至或者以后OABO V3219SIMATIC S7-300CPU317T-3PN/DP6ES7317-7TK10-更新至或者以后OABO V3219SIMATIC S7-300CPU317TF-3PN/DP6ES7317-7UL10-更新至或者以后OABO V3219SIMATIC S7-300CPU319-3PN/DP6ES7318-3EL01-更新至或者以后OABO V3219SIMATIC S7-300CPU319F-3PN/DP6ES7318-3FL01-更新至或者以后OABOSIPLUS ET200SIM151-8PN/DP CPU6AG1151-8AB01-）更新至或者以后7ABOSIPLUS ET200S IM151-8F PN/DP CPU6AG1151-更新至或者以后8FB01-2AB0V3219SIPLUS S7-300CPU314C-2PN/DP6AG1314-6EH04-更新至或者以后7ABOSIPLUS S7-3OO CPU315-2PN/DP6AG1315-2EH14-更新至或者以后7AB0V3219SIPLUS S7-300CPU315F-2PN/DP6AG1315-2FJ14-更新至或者以后2AB0:SIPLUS S7-300CPU317-2PN/DP6AG1317-2EK14-更新至或者以后7AB0V3219SIPLUS S7-300CPU317F-2PN/DP6AG1317-2FK14-更新至或者以后2ABO V3219西门子已经确定了用户可采用的以下具体解决方案和缓解措施来降低风险不要通过来自不可信来源的访问产品的服务url web如果可能，请禁用服务器，特别是站web SIMATICPC禁用服务器，此功能在默认情况下为禁用状态web。