西门子工业网络管理系统发现十五处安全漏洞

其中最主要的弱点是 CVE-2021-33723（CVSS 得分：8.8），它允许将权限升级到管理员帐户，并且可以与路径遍历漏洞 CVE-2021-33722（CVSS 得分：7.2）结合执行远程任意代码。

另一个值得注意的缺陷与 SQL 注入（CVE-2021-33729，CVSS 分数：8.8）有关，经过身份验证的攻击者可以利用该案例在本地数据库中执行任意命令。

Claroty 的 Noam Moshe 说：“SINEC 在网络拓扑中处于强大的中心位置，因为它需要访问凭据、加密密钥和其他授予它管理员访问权限的机密，以便管理网络中的设备。”

“从攻击者的角度来看，这种攻击是利用合法凭证和网络工具进行恶意活动、访问和控制的，SINEC 将攻击者置于以下主要位置：侦察、横向移动和特权升级。”