L’article publié sur cyberveille.decio.ch informe sur les derniers avis de sécurité publiés par Siemens, Schneider Electric et Aveva pour Patch Tuesday de juin 2025, concernant des vulnérabilités dans des solutions industrielles.
Siemens a publié six nouveaux avis, dont le plus critique concerne une vulnérabilité de CVE-2025-40585 dans les solutions Siemens Energy Services utilisant le Elspec G5 Digital Fault Recorder (G5DFR). Cette faille de crédentiels par défaut permettrait à un attaquant de prendre le contrôle à distance du composant G5DFR. Des mises à jour sont en cours pour les Simatic S7-1500 CPUs affectés par des vulnérabilités dans le sous-système GNU/Linux. Des problèmes de gravité moyenne sont également signalés dans les dispositifs de communication industrielle utilisant le Sinec OS.
Schneider Electric a publié trois nouveaux avis, dont un sur des vulnérabilités XSS et DoS affectant certains contrôleurs Modicon. Quatre vulnérabilités ont été corrigées dans la station de charge pour véhicules électriques EVLink WallBox, incluant des failles permettant des attaques XSS et le contrôle à distance de la station.
Aveva a publié trois avis, mentionnant des vulnérabilités DoS de haute gravité dans le produit PI Data Archive et des failles XSS de gravité moyenne dans PI Connector for CygNet et PI Web API. CISA a également publié des avis sur des vulnérabilités critiques dans les récepteurs GPS SinoTrack et d’autres produits. L’article conclut avec une mention du rapport de Kaspersky sur les menaces ICS pour le premier trimestre 2025, montrant que 22% des dispositifs ICS protégés ont été ciblés par des menaces.
🔗 Source originale : https://www.securityweek.com/ics-patch-tuesday-vulnerabilities-addressed-by-siemens-schneider-aveva-cisa/