Kritische Sicherheitslücken in InterMesh-Produkten von Siemens

Das Unternehmen Siemens veröffentlichte eine Sicherheitsmeldung zu vier Sicherheitslücken in zwei seiner InterMesh-Produkte. Die Produkte sind Bestandteil von drahtlosen Warnsystemen. Siemens meldete folgende Schwachstellen:

• CVE-2024-47901 mit einem CVSS-Score von 10.0/10 ermöglicht Angreifenden, Remote Code Execution (RCE) auf Root-Ebene auszuführen.
• CVE-2024-47902 mit einem CVSS-Score von 7.2/10.0 ermöglicht Angreifenden, Befehle auf Ebene des Betriebssytems auszuführen.
• CVE-2024-47903 mit einem CVSS-Score von 5.8/10.0 ermöglicht Angreifenden, beliebige Dateien in das Server-Verzeichnis DocumentRoot zu schreiben.
• CVE-2024-47904 mit einem CVSS-Score von 7.8/10 ermöglicht Angreifenden, auf ein SUID-Binary zuzugreifen und im Anschluss beliebige Befehle auf Root-Ebene auszuführen.

Die Schwachstellen betreffen folgende Produkte:

• InterMesh 7177 Hybrid 2.0 Subscriber vor Version V8.2.12
• InterMesh 7707 Fire Subscriber vor Version V7.2.12

Siemens stellt mit den Versionen InterMesh 7177 Hybrid 2.0 Subscriber V8.2.12 und InterMesh 7707 Fire Subscriber V7.2.12 abgesicherte Versionen bereit.

• Aktualisieren Sie Ihre InterMesh-7177-Hybrid 2.0-Subscriber-Version umgehend auf die Version V8.2.12 oder höher.
• Aktualisieren Sie Ihre InterMesh-7707-Fire-Subscriber-Version schnellstmöglich auf die Version V7.2.12 oder höher.
• Beschränken Sie den Zugriff auf Ihr InterMesh-Netzwerk auf vertrauenswürdige Personen und Systeme.