ICS Patch Tuesday (luty 2026): Siemens, Schneider Electric, AVEVA i Phoenix Contact łatają luki w OT/ICS

Wprowadzenie do problemu / definicja luki

„ICS Patch Tuesday” to praktyka cyklicznego publikowania biuletynów bezpieczeństwa dla systemów przemysłowych (OT/ICS) — sterowników, stacji inżynierskich, HMI/SCADA, narzędzi do zarządzania siecią przemysłową czy komponentów telemetrycznych. W lutym 2026 r. zestaw nowych komunikatów opublikowały m.in. Siemens, Schneider Electric, AVEVA i Phoenix Contact. Wspólny mianownik: podatności mogą prowadzić do DoS, nieautoryzowanego dostępu, eskalacji uprawnień i w części przypadków choćby wykonania kodu — a więc scenariuszy bezpośrednio wpływających na ciągłość procesów przemysłowych.

W skrócie

• Siemens: 8 nowych advisory dla m.in. Desigo CC, Sentron Powermanager, Simcenter (Femap/Nastran), NX, Sinec NMS, Solid Edge, Polarion; dodatkowo osobny biuletyn o braku mechanizmów hardeningu (ASLR/DEP/CFG itd.) w legacy kliencie SIPORT Desktop.
• Schneider Electric: 2 najważniejsze komunikaty z 10.02.2026:
  • EcoStruxure Building Operation Workstation/WebStation – m.in. XXE i potencjalne wektory prowadzące do DoS/ujawnienia informacji/wykonania kodu (CVE-2026-1226, CVE-2026-1227).
  • SCADAPack / RemoteConnect – błąd „improper check…” (CVE-2026-0667), oceniony jako krytyczny w ujęciu komunikatu SecurityWeek (DoS lub code execution).
• AVEVA:
  • PI Data Archive – DoS przez „uncaught exception” (CVE-2025-44019).
  • PI to CONNECT Agent – wyciek wrażliwych danych do logów (proxy URL/credentials) przy określonych uprawnieniach (CVE-2026-1495).
• Phoenix Contact: problem w OpenSSL (TLS 1.3) powodujący nieograniczony wzrost cache sesji i ryzyko resetu urządzeń przez wyczerpanie pamięci — dotyczy m.in. FL MGUARD 1102/1105 < 1.8.0 (CVE-2024-2511).

Kontekst / historia / powiązania

W OT realne ryzyko rzadko wynika wyłącznie z „jednej podatności”. Częściej to suma: starych komponentów, długich cykli patchowania, ekspozycji interfejsów (web/HMI), zaufania do segmentów sieciowych oraz zależności od bibliotek osób trzecich (np. OpenSSL). Przykładami są:

• legacy aplikacje (VB6, brak nowoczesnych mitigacji) — Siemens wprost opisuje, iż SIPORT Desktop nie implementuje ASLR/DEP/CFG/itp., przez co rośnie ryzyko nadużyć po uzyskaniu dostępu lokalnego.
• podatności w bibliotekach kryptograficznych — w urządzeniach brzegowych i firewallach przemysłowych DoS na TLS potrafi przełożyć się na utratę łączności z obiektami.

Analiza techniczna / szczegóły luki

1) Siemens: „klasyczne” podatności + twarde ostrzeżenie o hardeningu SIPORT Desktop

SecurityWeek raportuje, iż scenariusze obejmują m.in. nieautoryzowany dostęp, XSS, DoS, RCE oraz eskalację uprawnień w różnych produktach.
Najciekawszy (operacyjnie) jest jednak osobny biuletyn SSB-491780: to nie „CVE i patch”, tylko informacja o braku zabezpieczeń binariów (ASLR/DEP/Authenticode/SafeSEH/CFG). Siemens wskazuje, iż problem ma charakter lokalny (post-exploitation/insider), a długoterminowo strategią jest migracja do web client, a nie „utwardzanie” thick clienta.

2) Schneider Electric: EBO Workstation/WebStation oraz SCADAPack/RemoteConnect

Schneider w portalu notyfikacji wskazuje dla EBO m.in. XXE (CWE-611) i generowanie kodu (CWE-94), przypisując CVE-2026-1226 i CVE-2026-1227 oraz konkretne zakresy wersji wymagające aktualizacji.
Druga pozycja z 10.02.2026 dotyczy SCADAPack 47x/47xi/57x oraz RemoteConnect i jest powiązana z CVE-2026-0667.

3) AVEVA: PI Data Archive (DoS) + PI to CONNECT Agent (wrażliwe dane w logach)

• CVE-2025-44019: NVD i biuletyn AVEVA opisują błąd „uncaught exception”, który może umożliwić zatrzymanie wybranych subsystemów PI Data Archive i DoS (z możliwością utraty części danych z cache/snapshots w zależności od timingu awarii).
• CVE-2026-1495: zgodnie z opisem (m.in. Tenable), przy uprawnieniach Event Log Reader możliwy jest odczyt szczegółów proxy (w tym potencjalnie poświadczeń) z logów PI to CONNECT, co stwarza ryzyko nieautoryzowanego dostępu do infrastruktury pośredniczącej.

4) Phoenix Contact: OpenSSL/TLS 1.3 i DoS przez cache sesji

CERT@VDE opisuje podatność OpenSSL w implementacji TLS 1.3, gdzie cache sesji może rosnąć bez ograniczeń, a atakujący zdalnie może doprowadzić do wyczerpania pamięci i rebootu urządzenia poprzez zestawianie wielu połączeń TLS do web interfejsu. Dotyczy m.in. FL MGUARD 1102/1105 z firmware < 1.8.0 (CVE-2024-2511).

Praktyczne konsekwencje / ryzyko

W środowiskach produkcyjnych skutki bywają bardziej „fizyczne” niż w IT:

• DoS w PI Data Archive lub na urządzeniach brzegowych (FL MGUARD/SCADAPack) może skutkować utratą telemetrii, alarmów, danych procesowych, a w skrajnych przypadkach zatrzymaniem procesu lub przejściem w tryby awaryjne.
• XXE / komponenty webowe (EBO WebStation/Workstation) zwiększają ryzyko naruszeń poufności i „pivotu” do innych segmentów (szczególnie, gdy BMS/OT jest słabo odseparowane).
• Brak hardeningu legacy klienta (SIPORT Desktop) oznacza, iż po wejściu na stację operatorską/engineering workstation przeciwnik może łatwiej utrzymywać się w systemie i nadużywać zaufanego kontekstu aplikacji.
• Wrażliwe dane w logach (PI to CONNECT) to realny „credential exposure” w praktyce — często logi trafiają do centralnych kolektorów, gdzie dostęp ma szersza grupa.

Rekomendacje operacyjne / co zrobić teraz

1. Triaging i priorytetyzacja (24–72h)

• Najpierw systemy „na styku” (zdalny dostęp, bramy, web management): SCADAPack/RemoteConnect, FL MGUARD, WebStation/Workstation.
• Osobno potraktuj systemy danych procesowych (PI Data Archive) — DoS w historianie często ma najwyższy koszt operacyjny.

2. Ogranicz ekspozycję zanim spatchujesz

• Phoenix Contact wprost rekomenduje maksymalne ograniczenie dostępu sieciowego do web interfejsu (ACL/segmentacja).
• Dla SIPORT Desktop: segmentacja, reguły firewall na hostach, uruchamianie na kontach bez uprawnień admina, oraz kontrola integralności/EDR — to dokładnie ten typ mitigacji, który wskazuje Siemens.

3. Higiena logów i poświadczeń (PI to CONNECT)

• Zweryfikuj, kto ma dostęp do logów (lokalnie i w SIEM/centralnym logowaniu).
• Rotuj poświadczenia proxy, jeżeli istniała możliwość ekspozycji; traktuj to jak potencjalny incydent „secrets leakage”.

4. Walidacja po wdrożeniu poprawek

• Sprawdź, czy po aktualizacjach nie zmieniły się wymagania dot. certyfikatów/TLS, integracji (OT potrafi „paść” nie od ataku, tylko od zmiany wersji komponentu).
• Zrób szybki test: zestawianie połączeń, failover, restart usług PI i weryfikacja buforowania danych.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• „Patch i CVE” vs „architektura/legacy debt”: Siemens SSB-491780 jest dobrym przykładem komunikatu, gdzie nie ma prostego „załataj i zapomnij” — ryzyko wynika z ograniczeń technologii (VB6) i decyzji o migracji, więc trzeba podejść do tego jak do ryzyka rezydualnego w modelu zagrożeń.
• DoS w OT ma inny ciężar: podatność OpenSSL/TLS cache (Phoenix Contact) i DoS w PI Data Archive pokazują, iż choćby bez kradzieży danych atak może „wygrać” przez przerwanie dostępności.

Podsumowanie / najważniejsze wnioski

Lutowy ICS Patch Tuesday (11 lutego 2026) domyka kilka istotnych klas ryzyk: webowe wektory w narzędziach operatorskich, DoS w krytycznych komponentach telemetrii/historian, nadużycia wynikające z długu technologicznego oraz problemy w zależnościach (OpenSSL). Najbardziej praktyczne podejście: gwałtownie ograniczyć ekspozycję (segmentacja/ACL), spatchować komponenty brzegowe i webowe w pierwszej kolejności, a następnie dopiąć porządek w logach i poświadczeniach (PI to CONNECT).

Źródła / bibliografia

1. SecurityWeek – ICS Patch Tuesday: Vulnerabilities Addressed by Siemens, Schneider, Aveva, Phoenix Contact (11.02.2026). (SecurityWeek)
2. Siemens ProductCERT – SSB-491780: Missing anti-tamper protection in SIPORT Desktop Client Application (10.02.2026). (cert-portal.siemens.com)
3. Schneider Electric – Security Notifications (pozycje z 10.02.2026: SEVD-2026-041-01 / SEVD-2026-041-02). (Schneider Electric)
4. AVEVA – Security Bulletin AVEVA-2025-001: PI Data Archive – Denial of Service vulnerabilities + NVD CVE-2025-44019. (aveva.com)
5. CERT@VDE – Phoenix Contact: Unbounded growth of OpenSSL session cache in multiple FL MGUARD devices (CVE-2024-2511). (certvde.com)
6. Tenable – opis CVE-2026-1495 (PI to CONNECT Agent, wrażliwe dane w logach). (Tenable®)