发布日期：2020-01-14
更新日期：2020-01-15

受影响系统：

Siemens SCALANCE X-200RNA
Siemens SCALANCE X-300 < 4.1.3
Siemens SCALANCE X-408 < 4.1.3

描述：

---

CVE(CAN) ID: CVE-2019-13933

Siemens SCALANCE X Switches是工业以太网交换机产品。

SCALANCE X-200RNA、SCALANCE X-300 4.1.3之前版本、SCALANCE X-408 4.1.3之前版本对关键功能缺少身份验证，在实现中存在安全漏洞，可以网络访问受影响系统的攻击者利用此漏洞可获取敏感信息或更改设备配置，破坏访问控制规则。

<*来源：Maxim Rupp
  *>

建议：

---

厂商补丁：

Siemens
-------
西门子建议受影响的用户可以采用以下变通办法和缓解措施来降低风险：

对于SCALANCE X-200RNA交换机系列，西门子建议：

*将ACL配置为仅允许从受信任IP地址进行基于Web的管理。
*禁用基于Web的管理（WBM），并使用SSH配置设备。

对于SCALANCE X-300交换机系列（包括SIPLUS NET变体），西门子建议用户升级到版本4.1.3。

对于SCALANCE X-408，西门子建议用户升级到版本4.1.3。

作为一般的安全措施，西门子强烈建议用户使用适当的机制保护对设备的网络访问。为了在受保护的IT环境中操作设备，西门子建议用户根据西门子工业安全性操作指南配置环境，并遵循产品手册中的建议。

西门子提供的有关工业安全的更多信息，请访问：https：//www.siemens.com/industrialsecurity

有关更多信息，请参见西门子安全公告。

浏览次数：1108
严重程度：0（网友投票）