一、漏洞概述
Siemens Siveillance Video Mobile Server是德国西门子(Siemens)公司的一个视频移动服务器。让您可以随时随地通过智能手机或平板电脑快速、安全且用户友好地访问您的视频管理系统。
Siemens Siveillance Video Mobile Server 存在代码问题漏洞,该漏洞源于受影响应用程序的管理服务器组件在没有充分验证的情况下反序列化数据。这可能允许经过身份验证的远程攻击者在受影响的系统上执行代码。
以下是漏洞详情:
二、受影响的产品
以下版本的西门子存在这些问题:
l Siveillance Video 2020 R2: all versions prior to V20.2 HotfixRev14
l Siveillance Video 2020 R3: all versions prior to V20.3 HotfixRev12
l Siveillance Video 2021 R1: all versions prior to V21.1 HotfixRev12
l Siveillance Video 2021 R2: all versions prior to V21.2 HotfixRev8
l Siveillance Video 2022 R1: all versions prior to V22.1 HotfixRev7
l Siveillance Video 2022 R2: all versions prior to V22.2 HotfixRev5
l Siveillance Video 2022 R3: all versions prior to V22.3 HotfixRev2
l Siveillance Video 2023 R1: all versions prior to V23.1 HotfixRev1
三、严重等级
六方云超弦实验室评级为:高危
四、处置方法
1、西门子建议用户使用以下解决方法和缓解措施,可以降低风险:
l Siveillance Video 2020 R2: Update to V20.2 HotfixRev14 or later version
l Siveillance Video 2020 R3: Update to V20.3 HotfixRev12 or later version
l Siveillance Video 2021 R1: Update to V21.1 HotfixRev12 or later version
l Siveillance Video 2021 R2: Update to V21.2 HotfixRev8 or later version
l Siveillance Video 2022 R1: Update to V22.1 HotfixRev7 or later version
l Siveillance Video 2022 R2: Update to V22.2 HotfixRev5 or later version
l Siveillance Video 2022 R3: Update to V22.3 HotfixRev2 or later version
l Siveillance Video 2023 R1: Update to V23.1 HotfixRev1 or later version
2、加强访问控制,使用六方云工业防火墙、工业网闸等产品进行隔离保护
3、使用六方云工业卫士阻止不受信任的网络和主机访问并做好白名单防护
4、使用六方云神探及时发现未知威胁
五、参考链接
https://www.cisa.gov/news-events/ics-advisories/icsa-23-131-03
六方云超弦实验室将持续跟踪安全情报变化,及时发布相关信息,若有需要,请联系400-6060-270
-END-
