ICS Patch Tuesday (listopad 2025): luki załatane przez Siemens, Rockwell Automation, AVEVA i Schneider Electric

Wprowadzenie do problemu / definicja luki

Listopadowy „ICS Patch Tuesday” przyniósł pakiet biuletynów bezpieczeństwa od czterech ważnych dostawców OT/ICS: Siemens, Rockwell Automation, AVEVA i Schneider Electric. Zaadresowane problemy obejmują wykonanie kodu (RCE), SSRF z wyciekiem NTLM, obejście MFA, trwałe XSS, CSRF, DoS i nadużycia API w systemach inżynierskich oraz platformach bezpieczeństwa OT. To są typowe klasy błędów, które w środowiskach produkcyjnych mogą prowadzić do przerw w procesie, manipulacji setpointami, utraty widoczności lub utrudnień w bezpiecznym zatrzymaniu instalacji.

W skrócie

• Siemens: 6 nowych biuletynów; m.in. krytyczne RCE i obejście zabezpieczeń w COMOS, problemy w Solid Edge (MITM/DLL hijacking), LOGO! 8 BM (RCE/DoS/manipulacja ustawieniami), SICAM P850 (CSRF).
• Rockwell Automation: 5 nowych biuletynów (11 listopada). Kluczowe: Verve Asset Manager – błąd kontroli dostępu (CVE-2025-11862) pozwalający użytkownikowi read-only modyfikować konta przez API; Studio 5000 – lokalne SSRF z wyciekiem NTLM (CVE-2025-11696); DataMosaix Private Cloud – obejście MFA (CVE-2025-11084) i trwałe XSS; aktualizacje komponentów w SIS Workstation (DotNetZip) i FactoryTalk Policy Manager (DoS).
• AVEVA: dwa biuletyny; m.in. persistent XSS oraz luka w AVEVA Edge (MD5/„słabe” hashe) umożliwiająca brute-force haseł z plików projektu/cache.
• Schneider Electric: 2 nowe biuletyny; jeden dotyczy wpływu luki AVEVA Edge na EcoStruxure Machine SCADA Expert i Pro-face BLUE Open Studio, drugi – poważne problemy (path traversal, brute-force uwierzytelniania, eskalacja uprawnień) w PowerChute Serial Shutdown.

Kontekst / historia / powiązania

Regularne pakiety poprawek dla ICS/OT agregują zarówno luki własne dostawców, jak i wciągnięte „z dołu” błędy w komponentach zewnętrznych (biblioteki archiwizacji, SDK CAD/CAM, stosy sieciowe). Przykładem jest COMOS (komponent SDK rysunków), Solid Edge (parsowanie plików/łańcuch DLL), a u Rockwella – DotNetZip czy problemy w politykach FactoryTalk. Dodatkowo, słabe schematy kryptograficzne (MD5) w produktach klasy HMI/SCADA – jak AVEVA Edge – re-eksponują te same zagrożenia w rebrandowanych liniach Schneider (EcoStruxure/Pro-face), co ilustruje ryzyko łańcucha dostaw oprogramowania.

Analiza techniczna / szczegóły luki

Siemens

• COMOS: dwa CVE – w tym krytyczne RCE i obejście zabezpieczeń. Atak powierzchniowy: pliki projektu / biblioteki SDK (Drawings SDK). Wymaga dostępu do systemu inżynierskiego i możliwości podmiany kontrolowanych artefaktów.
• Solid Edge:
  • Improper certificate validation przy komunikacji z License Service → MITM (brak poprawnej walidacji certyfikatów klienta/serwera).
  • DLL hijacking (CWE-427) w Solid Edge/Siemens Software Center → wykonanie kodu po podłożeniu złośliwego DLL (UI-prompted).
  • Osobny tor CVE dla out-of-bounds write podczas parsowania plików PRT (RCE).
• LOGO! 8 BM: zestaw luk prowadzących do RCE/DoS/manipulacji zachowaniem urządzenia (CVSS v4 do 8.6). Dot. także wariantów SIPLUS.
• SICAM P850: CSRF w interfejsie web (starsza rodzina – przez cały czas spotykana w energetyce).

Rockwell Automation

• Verve Asset Manager (CVE-2025-11862): błąd autoryzacji API – użytkownik read-only może czytać/aktualizować/usuwać użytkowników → eskalacja uprawnień / blokada administracyjna. Wersje podatne 1.33–1.41.3; poprawione w 1.41.4+ oraz 1.42.
• Studio 5000 Simulation Interface (CVE-2025-11696): lokalne SSRF przez API wymuszające ruch SMB i przechwycenie NTLM hashes (relay/offline-crack).
• FactoryTalk DataMosaix Private Cloud (CVE-2025-11084): obejście MFA w oknie 7-dniowej konfiguracji + persistent XSS.
• SIS Workstation: podatność w DotNetZip (komponent 3rd-party) → potencjalne RCE przez crafted archive.
• FactoryTalk Policy Manager: DoS wskutek błędów komponentów zależnych (naprawione).

AVEVA

• AVEVA Edge: hasła użytkowników (lokalne/AD) haszowane MD5; właściciel read-only plików projektu lub offline cache może wykonać brute-force i odzyskać hasła → wtórne przejęcia sesji/stanowisk inżynierskich.
• Osobny biuletyn: persistent XSS (eskalacja uprawnień, kradzież tokenów w środowisku webowym).

Schneider Electric

• Wpływ luki AVEVA Edge na EcoStruxure Machine SCADA Expert i Pro-face BLUE Open Studio – te produkty dziedziczą słabe hashowanie i wektory odczytu plików projektu/cache.
• PowerChute Serial Shutdown: path traversal, brute-force uwierzytelniania i eskalacja uprawnień (wysoka waga dla UPS/bezpiecznego wyłączania).

Praktyczne konsekwencje / ryzyko

• MITM/SSRF/NTLM: przechwycenie hashy NTLM ułatwia relay w domenie lub offline cracking → wejście do sieci OT bocznymi drzwiami (zewn. stacje inżynierskie, jump-hosty).
• Słabe hashe (MD5) w AVEVA/Schneider: atakujący z kopią plików projektu (backup, share, repo) może wyciągnąć hasła operatorów/administratorów HMI/SCADA i przelogować się do środowiska DCS/PLC.
• RCE/DLL hijacking na stacjach inżynierskich (COMOS, Solid Edge): droga do trojanizacji plików projektowych i trwałego dostępu do repozytoriów automatyki (PLM/ALM).
• Nadużycia API (Verve): możliwość usuwania/uaktualniania kont z uprawnieniami przekłada się na utratę widoczności i utrudnienie reakcji (wyłączenie monitoringu OT).

Rekomendacje operacyjne / co zrobić teraz

1) Priorytetyzacja patchowania (72h/14 dni)

• Krytyczne – do 72h (lub w najbliższym oknie serwisowym):
  • Rockwell Studio 5000 (CVE-2025-11696) – ryzyko kradzieży NTLM/relay.
  • Rockwell Verve (CVE-2025-11862) – ryzyko utraty kontroli nad kontami.
  • Siemens Solid Edge DLL hijacking / cert-validation – RCE/MITM na stacjach ENG.
  • AVEVA Edge (MD5) oraz odpowiadające produkty Schneider – natychmiastowe działania na hasłach.
• Wysokie – do 14 dni: Siemens LOGO! 8 BM (RCE/DoS), Schneider PowerChute.

2) Aktualizacje / wersje docelowe (sprawdź przed wdrożeniem)

• Verve Asset Manager: ≥ 1.41.4 lub 1.42. # Szybkie sprawdzenie wersji po serwerach Verve (Windows) Get-ItemProperty 'HKLM:\SOFTWARE\Verve\AssetManager' | Select-Object Version, InstallPath
• Studio 5000 Simulation Interface: wersja z poprawką dla CVE-2025-11696 (zgodnie z SD1760). # Enumeracja modułów Studio 5000 na stacji ENG Get-WmiObject Win32_Product | ? { $_.Name -like "*Studio 5000*" } | Select Name, Version
• DataMosaix Private Cloud: wersja z poprawką CVE-2025-11084; wymuś dokończenie MFA w <7 dni.
• Siemens Solid Edge: zainstaluj aktualizacje z SSA-365596 i SSA-522291; włącz certificate pinning na proxy gdzie możliwe.
• Siemens LOGO! 8 BM: firmware zgodny z SSA-267056.
• Schneider PowerChute: wersje nienarażone wg SEVD-2025-315-01.

3) „Compensating controls” (gdy patch musi poczekać)

• Segmentacja / NAC: izoluj stacje inżynierskie, log-serwery, serwery licencji.
• SMB/NTLM hardening (SSRF/NTLM): blokuj ruch SMB z hostów ENG do niesprawdzonych celów; wymuś SMB signing/LDAP signing, wyłącz NTLMv1. # Na zaporze między ENG a IT deny tcp any any eq 445 deny tcp any any eq 139
• Monitoring MITM: TLS inspection z wyjątkami i alertingiem na nieprawidłową walidację certyfikatów klienta/serwera (Solid Edge).
• Kontrola dostępu do plików projektu: przenieś repozytoria HMI/SCADA/Edge na udziały tylko-do-odczytu + DLP; szyfruj backupy.
• Wymuszenie haseł odpornych na offline-crack: zmień polityki na długie hasła (min. 14–16 znaków, passphrase), rozważ PAM i audyt reużycia; po ŁATACH AVeVA/Schneider wymuś reset haseł operatorów.

4) Szybkie detekcje (SOC/Blue Team)

• Polowanie na NTLM-relay (Windows ENG): # Podejrzane outbound SMB z hostów Studio 5000 Get-WinEvent -LogName Security | ? { $_.Id -in 4624,4625 -and $_.Properties[8].Value -match "NTLM" } | Select TimeCreated, Id, @{n="Target";e={$_.Properties[18].Value}}
• Anomalia w API (Verve): alertuj na non-admin wykonujące operacje POST/PUT/DELETE na endpointach /users/.
• Zmiany plików projektu (AVEVA/Schneider): file integrity monitoring katalogów cache/projektu; hashy MD5 nie traktuj jako dowodu integralności.

Różnice / porównania z innymi przypadkami

• SSRF+NTLM w narzędziach inżynierskich (Studio 5000) jest analogiczne do wzorców znanych z aplikacji IT, ale w OT skutki są gorsze (eskalacja uprawnień domenowych → wpływ na PLC/HMI).
• Słabe hashowanie (MD5) w AVEVA/Schneider to echo dawnych praktyk w systemach HMI/SCADA. Unikatowe jest to, iż czytanie samych plików projektu (bez RCE) daje ścieżkę do kompromitacji kont.
• DLL hijacking na stacjach ENG przypomina kampanie „project file trojanization” znane z CAD/CAM/PLM – nośnikiem są biblioteki i pliki formatów własnych.

Podsumowanie / najważniejsze wnioski

1. Najbardziej palące: Verve (CVE-2025-11862), Studio 5000 (CVE-2025-11696), AVEVA Edge/Schneider (MD5), Siemens Solid Edge (MITM/DLL).
2. Zrób reset haseł i przegląd dostępów wszędzie tam, gdzie pliki projektowe mogły być kopiowane/udostępniane.
3. W OT równoważ ważność patchy i kompensacji (segmentacja, SMB/NTLM hardening, kontrola plików, SOC hunts).
4. Utrzymuj SBOM/asset inventory dla stacji ENG – zależności 3rd-party (DotNetZip, SDK) są tu częstym źródłem ryzyka.

Źródła / bibliografia

• SecurityWeek: przegląd listopadowych biuletynów ICS Patch Tuesday. (SecurityWeek)
• Siemens ProductCERT: LOGO! 8 BM (SSA-267056); Solid Edge – cert validation (SSA-522291); DLL hijacking (SSA-365596). (cert-portal.siemens.com)
• Rockwell Automation: Verve (SD1759, CVE-2025-11862); Studio 5000 (SD1760, CVE-2025-11696); DataMosaix (SD1758, CVE-2025-11084); SIS Workstation (SD1761). (rockwellautomation.com)
• AVEVA: Security Bulletin AVEVA-2025-006 (Edge – słabe hashe MD5, brute-force). (AVEVA)
• Schneider Electric: SEVD-2025-315-01 (PowerChute); noty dot. wpływu luki AVEVA na EcoStruxure/Pro-face. (Schneider Electric)