Компания Siemens выпустила пакет обновлений для своих промышленных информационных систем. Разработчики опубликовали 16 бюллетеней безопасности, один из которых посвящен двум критическим брешам.

Максимальные 10 баллов по шкале CVSS получила уязвимость в продукте WibuKey производства компании Wibu-Systems. Этот продукт отвечает за контроль прав доступа к цифровому контенту. Баг затрагивает решение для мониторинга и управления энергосистемами Siemens SICAM 230.

Как пояснили разработчики, уязвимость CVE‑2018‑3991 позволяла злоумышленникам вызвать состояние переполнения динамической памяти (heap overflow), отправив специальный TCP-запрос на порт 22347/tcp. Это открывало взломщикам доступ к управлению промышленной системой. Эксперты отмечают, что блокировка соответствующего порта на внешнем брандмауэре помогает защититься от атаки.

Вторая критическая уязвимость, CVE-2018-3990, получила 9,3 балла по шкале CVSS. Брешь позволяла вызвать переполнение буфера с помощью вредоносного IRP-запроса (I/O Request Packet — используется при обмене данными между приложениями и драйверами). Эксплуатация бага приводила к порче данных ядра и несанкционированному повышению привилегий.

Брешь CVE-2018-3989 с оценкой в 4,3 балла также связана с обработкой IRP‑пакетов. Из-за ошибки в работе драйвера WibuKey злоумышленники могли получить информацию из памяти ядра.

Разработчики Siemens также устранили три DoS-уязвимости в коммуникационном модуле EN100 Module и реле SIPROTEC 5: CVE-2018-16563, CVE-2018-11451 и CVE‑2018‑11452. Эксплуатация этих дыр приводила к критическим ошибкам ПО, которые устранялись только перезагрузкой вручную. Воспользоваться брешами мог любой удаленный пользователь с минимальным набором прав. Единственное, что несколько снижало угрозу, — эксплуатация уязвимостей возможна, только если атакуемые устройства принимают данные по протоколу IEC 61850-MMS (МЭК-61850).

В EN100 Ethernet Communication Module также закрыта брешь CVE-2018-4838, позволявшая откатить прошивку устройства до более ранних версий. Сделать это можно было через порт TCP/80 веб-интерфейса уязвимых продуктов. После этого злоумышленники могли развить атаку, используя дыры, которые были устранены в новых релизах ПО.

Наконец, уязвимость CVE-2017-12741 коснулась продуктов серий SIMATIC, SIMOTION и SINAMIC, а также пакетов разработчиков для PROFINET (открытый стандарт для промышленной автоматизации). Ее можно было использовать для вызова критических ошибок в работе оборудования.

Производитель рекомендует администраторам промышленных сетей срочно установить все доступные патчи или заблокировать порты, через которые может идти атака.

В конце 2018 года эксперты «Лаборатории Касперского» предположили, что атаки на промышленную инфраструктуру продолжат развиваться в ближайшее время. По словам аналитиков, злоумышленники могут воспользоваться низким уровнем безопасности на предприятиях для промышленного шпионажа и геополитических акций.

Категории: Главное, Уязвимости