Sinds de vorige Patch Tuesday hebben acht grote industriële bedrijven nieuwe beveiligingsadviezen gepubliceerd voor hun ICS-producten. Siemens bracht negen nieuwe advisories uit, waaronder een kritieke kwetsbaarheid in oudere Wi-Fi-modules van Scalance W-700 apparaten. Daarnaast zijn hoge risico's verholpen in Sinec NMS (authenticatie- en autorisatieproblemen), Ruggedcom Crossbow (privilege-escalatie, code-uitvoering en DoS) en Industrial Edge Management (autorisation bypass). Middelzware kwetsbaarheden zijn opgelost in TPM en Analytics Toolkit. Siemens meldde ook deelname aan het CVE Program’s nieuwe Supplier Authorized Data Publisher (SADP) project, waarmee leveranciers zelf informatie aan CVE-entries kunnen toevoegen.

Schneider Electric publiceerde drie advisories, waaronder een over de impact van de in 2024 onthulde BlastRadius-kwetsbaarheid op de Modicon Networking Managed Switch. De andere advisories betreffen middelzware kwetsbaarheden in PowerChute Serial Shutdown UPS managementsoftware en Easergy MiCOM Px40 beveiligingsrelais. Aveva bracht een advies uit over een kritieke ontbrekende autorisatie en privilege-escalatie in Pipeline Simulation.

Rockwell Automation waarschuwde klanten dringend om PLC’s van internet te ontkoppelen vanwege mogelijke dreigingsactiviteit, vermoedelijk gerelateerd aan aanvallen door Iran-gerelateerde groepen op kritieke infrastructuur via PLC-hacks. Phoenix Contact meldde meerdere kwetsbaarheden in FL Switch producten, terwijl Mitsubishi Electric twee advisories uitbracht: een DoS-kwetsbaarheid veroorzaakt door Realtek-chips in huishoudelijke apparaten en meerdere kwetsbaarheden in Genesis64, Iconics Suite, MobileHMI, Hyper Historian, AnalytiX en MC Works64. Moxa publiceerde een advies over een beveiligingslek in MxGeneralIo dat kan leiden tot DoS of privilege-escalatie.

Naast deze advisories publiceerde de Amerikaanse CISA waarschuwingen voor kwetsbaarheden in producten van onder meer Mitsubishi Electric, Hitachi Energy en Wago. Duitsland’s CERT@VDE bracht advisories uit voor onder andere Codesys, Wago en Phoenix Contact.