SecurityWeek publie un récapitulatif des avis Patch Tuesday d’août 2025 pour l’ICS/OT, avec des correctifs et mitigations émis par Siemens, Schneider Electric, Honeywell, Aveva, ABB et Phoenix Contact, ainsi que des avis de la CISA. Plusieurs failles sont critiques ou à haute sévérité, exposant à l’exécution de code, à l’accès non autorisé, à la fuite de données et aux DoS.

• Siemens a publié 22 nouveaux avis, dont un pour la faille critique CVE-2025-40746 dans Simatic RTLS Locating Manager, exploitable par un attaquant authentifié pour une exécution de code avec privilèges Système ⚠️. Des failles à haute sévérité touchent aussi Comos (exécution de code), Siemens Engineering Platforms (exécution de code), Simcenter (crash ou exécution de code), Sinumerik (accès distant non autorisé), Ruggedcom (contournement d’authentification avec accès physique), Simatic (exécution de code), Siprotect (DoS) et Opcenter Quality (accès non autorisé). Des vulnérabilités issues de composants tiers sont également traitées (OpenSSL, Linux kernel, Wibu Systems, Nginx, Nozomi Networks, SQLite). Des correctifs existent pour beaucoup de failles, tandis que seules des mitigations ou contournements sont disponibles pour d’autres. Des problèmes de sévérité moyenne/faible sont résolus dans Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II et Sicam Q.

• Schneider Electric a émis cinq nouveaux avis. L’un couvre quatre vulnérabilités à haute sévérité dans EcoStruxure Power Monitoring Expert (PME), Power Operation (EPO) et Power SCADA Operation (PSO), menant à exécution de code arbitraire ou exposition de données sensibles. Dans le Modicon M340 et ses modules de communication, un DoS via commandes FTP spécialement conçues est corrigé, ainsi qu’un autre problème à haute sévérité pouvant entraîner exposition d’informations sensibles ou DoS. L’outil Schneider Electric Software Update reçoit un correctif pour une faille à haute sévérité permettant élévation de privilèges, corruption de fichiers, exfiltration d’informations ou DoS persistant. Des failles de sévérité moyenne (élévation de privilèges, DoS, exposition d’identifiants) sont corrigées dans Saitel et des produits EcoStruxure.

• Honeywell publie six avis orientés gestion technique du bâtiment (BMS), dont plusieurs informent des patchs Windows pour les produits Maxpro et Pro-Watch NVR/VMS. Des avis couvrent aussi des correctifs et améliorations de sécurité pour les contrôleurs d’accès PW-series 🛠️.

• Aveva signale deux vulnérabilités dans PI Integrator for Business Analytics : un téléversement de fichier arbitraire pouvant mener à exécution de code et une exposition de données sensibles. ABB informe sur plusieurs vulnérabilités affectant Aspect, Nexus et Matrix, dont certaines sans authentification pour exécution de code à distance, obtention d’identifiants, et manipulation de fichiers/composants. Phoenix Contact signale une élévation de privilèges dans Device and Update Management, due à une mauvaise configuration permettant à un utilisateur local faiblement privilégié d’exécuter du code arbitraire avec des droits admin; CERT@VDE en publie une copie.

• La CISA publie trois avis sur des vulnérabilités dans Santesoft Sante PACS Server, Johnson Controls iSTAR et des produits Ashlar-Vellum, et relaie l’avis Aveva ainsi qu’un avis Schneider Electric. Quelques jours avant Patch Tuesday, Rockwell Automation a divulgué plusieurs vulnérabilités à haute sévérité d’exécution de code dans Arena Simulation, et Mitsubishi Electric a décrit une faille de modification d’informations dans Genesis et MC Works64. Article de presse spécialisé visant à informer des avis et correctifs de sécurité OT/ICS du mois.

🔗 Source originale : https://www.securityweek.com/ics-patch-tuesday-major-vendors-address-code-execution-vulnerabilities/