西門子SiPass集成服務器中的一些漏洞已被修補，其中包括一個允許攻擊者繞過驗證的漏洞。

　　SiPass是該公司在多個行業和用例中管理物理訪問的綜合訪問控制服務器。該產品支持讀卡器，并與視頻監控設備集成，以及其他功能和功能。醫院，機場和制造設施由西門子列為服務器的理想用例。

　　該咨詢說，工業控制系統網絡應急小組（ICS-CERT）周四發布了一個咨詢警告用戶，他們應該立即將服務器更新到V2.70。

　　ICS-CERT表示：“成功利用這些漏洞可能允許未經身份驗證的攻擊者通過網絡訪問服務器進行管理操作。

　　不正當的身份驗證錯誤CVE-2017-9939獲得了9.8的CVSS基準分數，只有最高10個。根據ICS-CERT，具有對SiPass服務器的網絡訪問權限的攻擊者可以繞過設備上的身份驗證并運行他們選擇的代碼或操作。

　　在更新中也修補了三個其他較小關鍵的漏洞。CVE-2017-9940是一種不正當的權限管理缺陷，允許攻擊者具有較小的權限，通過網絡將文件讀取或寫入SiPass服務器。

　　該更新還涉及到一個中間人的漏洞CVE-2017-9941。位于SiPass服務器和集成客戶端之間的攻擊者可以訪問兩點之間的通信。

　　最后，CVE-2017-9942是一個問題，密碼以可恢復的格式存儲，允許本地攻擊者獲取這些憑據。

　　西門子還修補了SIMATIC SmartClient Android應用程序中的兩個漏洞，可以遠程操作和管理SIMATIC人機界面（HMI）系統。

　　西門子公司表示，SIMATIC WinCC SmartClient for Android和適用于V1.0.2.2之前的Android版本的SmartClient Lite受到影響。

　　ICS-CERT在一份咨詢中表示：“成功利用這些漏洞可能會讓具有特權網絡位置的攻擊者讀取和修改傳輸層安全TLS會話中的數據。

　　該更新解決了一對缺陷。第一個是中間人的漏洞，其中現有的TLS實現可能被濫用以允許攻擊者訪問TLS會話中的數據; CVE-2017-6870僅影響適用于Android的WinCC SmartClient。

　　第二個錯誤CVE-2017-6871是一個身份驗證繞過漏洞。它要求攻擊者可以物理訪問運行該軟件的解鎖的Android設備，并且可以忽略針對Android的SmartClient Lite的身份驗證。

責任編輯：韓希宇