الثغرات ›

CVE-2025-40944

مرتفع

CWE-400 — نوع الضعف

                    نُشر: Jan 13, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability has been identified in SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0) (All versions), SIMATIC ET 200MP IM 155-5 PN HF (6ES7155-5AA00-0AC0) (All versions >= V4.2.0), SIMATIC ET 200SP IM 155-6 MF HF (6ES7155-6MU00-0CN0) (All versions), SIMATIC ET 200SP IM 155-6 PN HA (incl. SIPLUS variants) (All versions < V1.3), SIMATIC ET 200SP IM 155-6 PN R1 (6ES7155-6AU00-0HM0) (All versions < V6.0.1), SIMATIC ET 200SP IM 155-6 PN/2 HF (6ES7155-6AU01-0CN0) (All versions >= V4.2.0), SIMATIC ET 200SP IM 155-6 PN/3 HF (6ES7155-6AU30-0CN0) (All versions < V4.2.2), SIMATIC PN/MF Coupler (6ES7158-3MU10-0XA0) (All versions), SIMATIC PN/PN Coupler (6ES7158-3AD10-0XA0) (All versions < V6.0.0), SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-2AC0) (All versions >= V4.2.0), SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-7AC0) (All versions >= V4.2.0), SIPLUS ET 200MP IM 155-5 PN HF T1 RAIL (6AG2155-5AA00-1AC0) (All versions >= V4.2.0), SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-2CN0) (All versions >= V4.2.0), SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-7CN0) (All versions >= V4.2.0), SIPLUS ET 200SP IM 155-6 PN HF T1 RAIL (6AG2155-6AU01-1CN0) (All versions >= V4.2.0), SIPLUS ET 200SP IM 155-6 PN HF TX RAIL (6AG2155-6AU01-4CN0) (All versions >= V4.2.0), SIPLUS NET PN/PN Coupler (6AG2158-3AD10-4XA0) (All versions < V6.0.0). Affected devices do not properly handle S7 protocol session disconnect requests. When receiving a valid S7 protocol Disconnect Request (COTP DR TPDU) on TCP port 102, the devices enter an improper session state.

This could allow an attacker to cause the device to become unresponsive, leading to a denial-of-service condition that requires a power cycle to restore normal operation.

🤖 ملخص AI

CVE-2025-40944 affects multiple Siemens SIMATIC industrial automation devices (ET 200 series and PN/MF couplers) with a vulnerability in S7 protocol session handling. An attacker can send a malformed S7 Disconnect Request on TCP port 102 to cause devices to enter an improper state, resulting in denial-of-service requiring power cycle recovery. With CVSS 7.5 and no exploit currently available, this poses significant risk to Saudi industrial infrastructure including oil/gas, water treatment, and manufacturing facilities.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 2, 2026 03:54

🇸🇦 التأثير على المملكة العربية السعودية

Critical impact on Saudi industrial sectors: (1) Energy/Petrochemicals - ARAMCO and downstream refineries rely heavily on Siemens SIMATIC controllers for process automation and safety systems; (2) Water & Wastewater - SWCC and municipal utilities use ET 200 series for critical infrastructure; (3) Manufacturing - Saudi industrial zones and automotive suppliers depend on these controllers; (4) Desalination Plants - SWCC facilities use Siemens automation extensively. A DoS attack could halt production, compromise safety interlocks, and cause significant economic damage. The vulnerability affects all versions of multiple product lines, indicating widespread exposure across Saudi industrial base.

🏢 القطاعات السعودية المتأثرة

Energy & Petrochemicals (ARAMCO, refineries, gas processing) Water & Wastewater (SWCC, municipal utilities) Manufacturing & Industrial (automotive, heavy equipment, industrial zones) Desalination Plants Chemical Processing Power Generation & Distribution Food & Beverage Processing Pharmaceutical Manufacturing

🎯 تقنيات MITRE ATT&CK

T1499 - Endpoint Denial of Service (DoS attack on industrial controllers) T1498 - Network Denial of Service (flooding S7 protocol port 102) T1657 - Exploitation of Vulnerability in Industrial Control Systems T1203 - Exploitation for Client Execution (malformed protocol packets) T1561 - Disk Wipe (potential data loss if device state corruption occurs)

⚖️ درجة المخاطر السعودية (AI)

8.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all affected SIMATIC devices in your environment using the provided model numbers (ET 200AL IM 157-1 PN, ET 200MP IM 155-5 PN HF, ET 200SP variants, PN/MF and PN/PN Couplers)

2. Isolate affected devices from untrusted networks; restrict TCP port 102 access to authorized engineering stations only

3. Implement network segmentation to prevent direct S7 protocol access from external networks

4. Enable firewall rules to block S7 protocol traffic (TCP 102) from non-whitelisted sources

PATCHING GUIDANCE:

1. Apply vendor patches immediately for all affected models:

- ET 200SP IM 155-6 PN HA: Update to V1.3 or later

- ET 200SP IM 155-6 PN R1: Update to V6.0.1 or later

- ET 200SP IM 155-6 PN/3 HF: Update to V4.2.2 or later

- PN/PN Coupler: Update to V6.0.0 or later

- SIPLUS NET PN/PN Coupler: Update to V6.0.0 or later

2. Test patches in non-production environment first

3. Schedule maintenance windows for production device updates

COMPENSATING CONTROLS (if patching delayed):

1. Deploy IDS/IPS rules to detect malformed S7 Disconnect Requests on port 102

2. Implement network access control lists (ACLs) limiting S7 protocol to authorized subnets

3. Monitor for unexpected device reboots or unresponsiveness

4. Establish automated failover to redundant controllers where available

5. Implement VLAN segmentation for OT networks

DETECTION RULES:

1. Monitor for TCP port 102 connection attempts from unauthorized sources

2. Alert on multiple rapid S7 protocol session initiations followed by disconnects

3. Track device availability and alert on unexpected offline status

4. Log all S7 protocol session state changes

5. Implement Snort/Suricata rules for malformed COTP DR TPDU detection

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حدد جميع أجهزة SIMATIC المتأثرة في بيئتك باستخدام أرقام الموديل المقدمة

2. عزل الأجهزة المتأثرة عن الشبكات غير الموثوقة؛ تقييد وصول منفذ TCP 102 إلى محطات الهندسة المصرح بها فقط

3. تنفيذ تقسيم الشبكة لمنع الوصول المباشر لبروتوكول S7 من الشبكات الخارجية

4. تفعيل قواعد جدار الحماية لحظر حركة بروتوكول S7 (TCP 102) من المصادر غير المدرجة في القائمة البيضاء

إرشادات التصحيح:

1. تطبيق تصحيحات البائع فوراً لجميع الموديلات المتأثرة

2. اختبار التصحيحات في بيئة غير الإنتاج أولاً

3. جدولة نوافذ الصيانة لتحديثات الأجهزة الإنتاجية

الضوابط البديلة (إذا تأخر التصحيح):

1. نشر قواعد IDS/IPS للكشف عن طلبات قطع الاتصال S7 المشوهة على المنفذ 102

2. تنفيذ قوائم التحكم في الوصول (ACLs) لتقييد بروتوكول S7 على الشبكات الفرعية المصرح بها

3. مراقبة إعادة تشغيل الأجهزة غير المتوقعة أو عدم الاستجابة

4. إنشاء تحويل فشل تلقائي إلى أجهزة تحكم زائدة حيث يكون متاحاً

5. تنفيذ تقسيم VLAN لشبكات OT

قواعد الكشف:

1. مراقبة محاولات الاتصال بمنفذ TCP 102 من مصادر غير مصرح بها

2. تنبيه على عمليات بدء جلسة بروتوكول S7 السريعة المتكررة متبوعة بقطع الاتصال

3. تتبع توفر الجهاز والتنبيه على حالة عدم الاتصال غير المتوقعة

4. تسجيل جميع تغييرات حالة جلسة بروتوكول S7

5. تنفيذ قواعد Snort/Suricata للكشف عن COTP DR TPDU المشوهة

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.13.1.1 - Network segmentation and access control for industrial systems ECC 2024 A.12.6.1 - Management of technical vulnerabilities in operational technology ECC 2024 A.12.2.1 - Establishment and implementation of change management procedures for critical systems ECC 2024 A.14.2.1 - Availability and resilience of critical information systems

🔵 SAMA CSF

SAMA CSF ID.AM-2 - Asset management and inventory of critical OT systems SAMA CSF PR.AC-3 - Access control and network segmentation for industrial networks SAMA CSF PR.PT-2 - Protective technology deployment (IDS/IPS for OT networks) SAMA CSF DE.CM-1 - Detection and monitoring of anomalous activity in OT systems SAMA CSF RS.RP-1 - Response planning for industrial control system incidents

🟡 ISO 27001:2022

ISO 27001:2022 A.5.15 - Access control for information systems ISO 27001:2022 A.8.1 - Asset management and inventory ISO 27001:2022 A.8.2 - Configuration management for systems ISO 27001:2022 A.12.2 - Change management procedures ISO 27001:2022 A.12.6 - Management of technical vulnerabilities ISO 27001:2022 A.14.2 - Information system availability and resilience

🟣 PCI DSS v4.0.1

Not directly applicable - PCI DSS applies to payment card systems; however, if SIMATIC devices process payment data or are connected to payment networks, PCI DSS 6.2 (vulnerability management) and 6.4 (secure development) apply

🔗 المراجع والمصادر 1

🔗

https://cert-portal.siemens.com/productcert/html/ssa-674753.html

productcert@siemens.com

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-400

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-13

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

8.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-400

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-40944

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب