Il 9 giugno 2026 Siemens, Schneider Electric e Phoenix Contact hanno rilasciato advisories di sicurezza per vulnerabilità nei propri sistemi industriali. La concentrazione di flaw in componenti di confine IT/OT — gestione rete, protezione elettrica, certificati — rende questo ciclo rilevante per chi difende infrastrutture manufacturing e energy.
- Siemens ha pubblicato quattro advisories: SINEC INS (CVSS 8.8), SIPROTEC 5, WinCC Certificate Manager (CVSS 7.1) e CVE-2025-15467/OpenSSL (CVSS 9.8) con impatto su famiglie Scalance, Simatic, Sinamics.
- Schneider Electric ha rilasciato tre advisories per PowerLogic P7, EasyLogic T150/Saitel DP RTU & Controller e EcoStruxure IT Data Center Expert.
- Phoenix Contact ha comunicato una vulnerabilità di scarico log non autenticato nei controllori di carica CHARX SEC-3xxx.
- Dati numerici Siemens verificati su ProductCERT; per Schneider e Phoenix Contact mancano CVSS e CVE specifici nel ciclo di giugno.
Siemens: SINEC INS e OpenSSL con CVSS 9.8
Secondo SecurityWeek, Siemens ha limitato il rilascio di giugno a quattro advisories. La più grave per impatto operativo è SSA-860189, relativa a SINEC INS — la piattaforma di gestione rete industriale — con CVSS 8.8: la fonte descrive vulnerabilità multiple che coprono command execution autenticato, information disclosure, privilege escalation ed esposizione password.
Il dato si integra con quanto documentato dalla tabella Siemens ProductCERT aggiornata al 9 giugno 2026, che conferma il punteggio e la data. Le fonti non quantificano il numero esatto di prodotti coinvolti né forniscono dettagli sul vettore di attacco specifico.
Parallelamente, CVE-2025-15467 — una vulnerabilità OpenSSL con possibile remote code execution — ha richiesto patch su prodotti Siemens: Scalance, Simatic, Sinamics, Sinec. Il ProductCERT assegna a questa advisory (SSA-434797) un CVSS di 9.8, il più alto del ciclo. Le fonti non specificano ulteriori famiglie di prodotti oltre a quelle elencate.
La quarta advisory riguarda WinCC Certificate Manager (SSA-063511), con CVSS 7.1 per insufficient protection of key material. Questo tipo di vulnerabilità espone a rischi di information disclosure in ambienti dove la gestione certificati è centralizzata.
Schneider Electric: protezione elettrica e credenziali esposte
Schneider Electric ha pubblicato tre advisories nel ciclo di giugno 2026. SecurityWeek le identifica come: PowerLogic P7, con vulnerabilità di DoS e command execution; EasyLogic T150 e Saitel DP RTU & Controller, con esposizione credenziali; EcoStruxure IT Data Center Expert, con information disclosure.
La distribuzione cross-settore copre protezione elettrica, automazione building e gestione infrastrutturale. Il punteggio CVSS non è riportato nelle fonti disponibili per le vulnerabilità Schneider di questo ciclo. Non emergono CVE specifici né evidenza di sfruttamento.
La varietà di prodotti toccati — da relè di protezione a controllori RTU a piattaforme software — riflette la complessità del portfolio Schneider e la sfida di tracciare patch su sistemi con cicli di vita diversi.
Phoenix Contact: vulnerabilità nei controllori di carica
Phoenix Contact ha rilasciato una sola advisory, focalizzata sui controllori di carica CHARX SEC-3xxx. La vulnerabilità consente lo scarico di log senza autenticazione.
La fonte non specifica se i log contengano dati operativi, diagnostici o di altra natura, né se la vulnerabilità sia riproducibile da remoto su tutte le configurazioni di rete. Non emergono CVE specifici per questa advisory nel ciclo di giugno 2026.
L'impatto potenziale si colloca in un settore — la ricarica veicoli elettrici — in cui la sicurezza dei controllori di campo è ancora in evoluzione rispetto alla maturità dei sistemi tradizionali manufacturing.
Il contesto: regolarità vendor e limiti di visibilità
"ICS Patch Tuesday advisories were published this month by Siemens, Schneider Electric, and Phoenix Contact." — SecurityWeek, Eduard Kovacs
La regolarità dei cicli vendor si colloca in un contesto di visibilità frammentata. Secondo Forescout, circa il 78% delle vulnerabilità OT non è tracciato tramite ICSAs (Industrial Control Systems Advisories) di CISA. Questo dato si riferisce a un trend aggregato 2025-2026, non al ciclo di giugno specifico.
La conseguenza è che chi si affida esclusivamente al feed CISA ICS-CERT perde visibilità su una quota maggioritaria di flaw. Siemens ProductCERT, Schneider SE Advisories e i canali diretti Phoenix Contact diventano fonti obbligate, con il costo operativo di monitorare molteplici portali e formati non standardizzati.
CISA, nel testo fornito, ha "informato organizzazioni su flaw precedentemente divulgati" di Schneider e Siemens — segnalando un ruolo di aggregazione ritardata, non di prima pubblicazione. Questo ritardo è critico per ambienti OT dove la window di patching è stretta.
Il ciclo di giugno 2026 conferma un pattern: Siemens mantiene un ritmo mensile strutturato con punteggi CVSS dettagliati, Schneider copre più segmenti di mercato con granularità variabile, Phoenix Contact pubblica selettivamente su prodotti di nicchia emergenti.
Cosa fare adesso
- Verificare la presenza di SINEC INS nelle reti industriali e confrontare la versione installata con l'advisory SSA-860189 del 9 giugno 2026; il CVSS 8.8 e la combinazione di flaw multipli richiedono prioritizzazione.
- Controllare l'esposizione network di prodotti Siemens nella famiglia Scalance, Simatic, Sinamics e Sinec rispetto a CVE-2025-15467 (SSA-434797, CVSS 9.8), la vulnerabilità con punteggio più alto del ciclo.
- Per gli asset Schneider Electric, identificare le installazioni PowerLogic P7, EasyLogic T150 e EcoStruxure IT Data Center Expert e monitorare i canali vendor diretti per l'assegnazione di CVE e CVSS.
- Per i controllori Phoenix Contact CHARX SEC-3xxx, verificare la disponibilità di firmware aggiornato e limitare l'accesso network ai soli sistemi autorizzati.
- Integrare i feed vendor diretti nel processo di vulnerability management, dato che CISA copre meno del 22% delle vulnerabilità OT secondo i dati aggregati disponibili.
Limiti di verificabilità
Le informazioni sono state verificate sulle fonti citate. I dati numerici su CVSS e ID advisory sono disponibili per Siemens tramite ProductCERT. Per Schneider Electric e Phoenix Contact, le fonti non riportano CVSS o CVE specifici nel ciclo di giugno 2026. Non è emersa evidenza di sfruttamento in the wild per le vulnerabilità trattate.
La mancanza di punteggi standardizzati per Schneider e Phoenix Contact limita la capacità di prioritizzazione automatica e richiede valutazione manuale del rischio basata su esposizione network e criticità del processo.
Fonti
- SecurityWeek — ICS Patch Tuesday: Vulnerabilities Fixed by Siemens, Schneider, Phoenix Contact (https://www.securityweek.com/ics-patch-tuesday-vulnerabilities-fixed-by-siemens-schneider-phoenix-contact/)
- Siemens ProductCERT — Advisory Services (https://www.siemens.com/en-us/content/cert-services/)
- Forescout — ICS Cybersecurity in 2026: Vulnerabilities and the Path Forward (https://www.forescout.com/blog/ics-cybersecurity-in-2026-vulnerabilities-and-the-path-forward/)
- CISA — ICS Advisories (https://www.cisa.gov/news-events/ics-advisories)
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.securityweek.com/ics-patch-tuesday-vulnerabilities-fixed-by-siemens-schneider-phoenix-contact/
- https://www.siemens.com/en-us/content/cert-services/
- https://www.forescout.com/blog/ics-cybersecurity-in-2026-vulnerabilities-and-the-path-forward/
- https://www.cisa.gov/news-events/ics-advisories
- https://cyberleveling.com/blog/ics-patch-tuesday-may-2026