شرکت زیمنس این هفته چند آسیبپذیری را وصله کرده و به مشتریان خود در خصوص استفاده از ActiveX در محصولات صنعتی هشدار داده است. ActiveX مایکروسافت و کنترلهای مربوط به آن امکان ایجاد انواع مختلفی از محتوا بر روی وبسایتها را فراهم میکند و به کاربران اجازه میدهد با المانهای مختلفی بر روی وبسایت در تعامل باشند. با اینحال ثابت شده که ActiveX دارای مشکلات امنیتی زیادی است و در حال حاضر فقط در اینترنت اکسپلورر پشتیبانی میشود. گفتنی است در مرورگرهای دیگری مانند کروم، سافاری و فایرفاکس پشتیبانی نمیشود.
مایکروسافت حتی به کاربران توصیه کرده تا در اینترنت اکسپلورر ۱۱ ویژگیهای امنیتی را که از دانلود و اجرای کنترلهای ActiveX جلوگیری میکند، غیرفعال نکنند. مهاجمان سایبری میتوانند از ActiveX بهرهبرداری کرده و در مورد کاربر اطلاعاتی را از سیستم جمعآوری کنند، بدافزار نصب کرده و یا کنترل دستگاه را بهطور کامل در دست بگیرند. برخی از محصولات صنعتی زیمنس مبتنی بر ActiveX هستند و لازم است تا کاربران برای اجرای این مولفهها از اینترنت اکسپلورر استفاده کنند.
با این حال زیمنس به مشتریان خود هشدار داده استفاده از اینترنت اکسپلورر برای بازدید از وبسایتهای غیرقابلاعتماد میتواند ریسک امنیتی به دنبال داشته باشد. زیمنس توصیه کرده برای بازدید از وبسایتهایی به غیر از محصولات این شرکت، از مرورگرهای دیگری استفاده کنند که مبتنی بر ActiveX نیست. زیمنس همچنین به مشتریان خود اطلاع داده که این هفته چند آسیبپذیری دور زدن احرازهویت را در سوئیچهای SCALANCE X وصله کرده است. به گفتهی زیمنس یک مهاجم با دسترسی به شبکه و بدون احرازهویت میتواند به دستگاه نفوذ کند. برای بهرهبرداری از این آسیبپذیریها کافی است مهاجم یک درخواست جعلی GET با یک URL مشخص برای اینترفیسهای پیکربندی مبتنی بر وب را ارسال کند.
این آسیبپذیری در سوئیچهای SCALANCE X-300 و X408 وصله شده و زیمنس برای دیگر دستگاههای تحت تاثیرقرارگرفته نیز راهکارهای امنیتی را ارائه کرده است. زیمنس همچنین یک آسیبپذیری بحرانی را در SINEMA Server وصله کرده که به یک کاربر احرازهویتشده با امتیازات سطح پایین این اجازه را میدهد تا بهروزرسانی ثابتافزار و یا سایر عملیات را بر روی تجهیز انجام دهد. در مشاورهنامه امنیتی زیمنس یک آسیبپذیری مهم ارتقاء امتیاز محلی در TIA Portal نیز وصله شده که به مهاجم اجازه میدهد تا کدهایی را با امتیازات SYSTEM اجرا کند. همچنین یک آسیبپذیری با شدت متوسط مربوط به کنترل دسترسی در SINAMICS PERFECT HARMONY وصله شده است.