数据安全风险信息报送模板数据安全风险信息.pdfVIP

一、数据安全风险信息报送模板

数据安全风险信息

2022年11月10H,工业和信息化部电子第五研所发

现西门子工业控制器存在数据安全风险。有关情况如下。

一、风险基本情况

一（）风险类别和级别

风险类别I数据泄露、非法访问

风险级别2：高风险

二（）风险涉及数据情况

涉及数据类型3：生产制造

涉及数据级别外重要数据

涉及数据量：暂不确定

三（）风险产生时间

2022年11月10日

（四）风险范围

影响地区：北京市

影响单位：西门子及所有使用相关产品的单位

1参考本指引附件1所列举的风险类型。

2参考本指引附件1判定风险级别。

3数据类型包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等，可在此基础

上进行细分类。

4数据级别包括核心数据、重要数据、一般数据。

影响行业：机械

五（）风险概述

西门子工业控制器多个版本存在跨站点请求伪造漏洞

C（SRF）,攻击者可以利用跨站点请求伪造漏洞，挟制用户

在当前已登录的Web应用程序上执行非本意的操作，获取敏

感数据。目前已分配CVE-2022-30694编号，CVSS分值为

6.5o

六（）其他相关息

系统名称：西门子工业控制器

系统域名：（官网地址）

IP地址：不涉及

端口：不涉及

风险URL:不涉及

IP所属地区；不涉及

IP所属运营商：不涉及

ICP备案号：不涉及

风险涉及产品型号版本（通用型风险5）：

SIMATIC驱动器控制器系列：所有版本。

SIMATICET200proIM154-PN/DPCPU（6ES7154-

AB01-0AB0）：V3.2.19之前的所有版本。

SIMATICET200proIM154-FPN/DPCPU（6ES7154-

FB01-0AB0）：V3.2.19之前的所有版本。

5通用型风险主要指可威胁数据安全的漏洞等风险；事件型风险三要指除漏洞等通用型风险之外的，可引

发数据安全事件的风险。

SIMATICET200proIM154-FXPN/DPCPU(6ES7154-

FX00-0AB0)：V3.2.19之前的所有版本。

SIMATICET200SIM151-PN/DPCPU(6ES7151-

AB01-0AB0)：V3.2.19之前的所有版本。

SIMATICET200SIM151-FPN/DPCPU(6ES7151-

FB01-0AB0)：V3.2.19之前的所有版本。

SIMATICPC站：所有版本V2.1及更高版本。

SIMATICS7-300CPU314C-2PN/DP(6ES7314-6EH04-

OABO)：V3319之前的所有版本。

SIMATICS7-300CPU315-2PN/DP(6ES7315-2EH14-

OABO)：V3219之前的所有版本。

SIMATICS7-300CPU315F-2PN/DP(6ES73I5-2FJ14-

OABO)：V3.2.19之前的所有版本。

SIMATICS7-3OOCPU315T-3