Компания Siemens информирует клиентов о наличии более 20 уязвимостей в подсистеме GNU/Linux многофункциональной процессорной платформы для промышленных контроллеров SIMATIC S7-1500. Обновления для прошивок пока не выпущены.

Многофункциональная платформа CPU 1518(F)-4 PN/DP MFP была добавлена в портфель SIMATIC S7-1500 год назад. Она позволяет объединить на одном устройстве типовые функции контроллера и персонального компьютера, что помимо прочего упрощает обмен данными, который раньше надо было программировать.

Согласно бюллетеню Siemens, ей придется латать 21 брешь в компонентах Linux и GNU, используемых многофункциональными ЦП 1518(F)-4 PN/DP. Большинство уязвимостей, уже закрытых разработчиками, позволяет удаленно вызвать отказ в обслуживании. В частности, в CPU 1518(F)-4 PN/DP MFP будут устранены DoS-баги CVE-2018-17972 и CVE-2018-17182, присутствующие в ядре Linux (второй также открывает возможность для исполнения произвольного кода).

Уязвимость CVE-2018-14404 в библиотеке libxml2, предназначенной для обработки файлов в формате XML, также грозит отказом в обслуживании. Брешь CVE-2018-15473 в пакете OpenSSH позволяет определить действующее имя пользователя, а затем получить пароль брутфорсом.

Названный продукт Siemens также затрагивают 17 из 25 уязвимостей, недавно пропатченных в инструментах из набора GNU Binutils, который обычно используют для работы с объектными файлами.

Пока вендор готовит обновление прошивок, пользователям многофункциональных SIMATIC S7-1500 рекомендуется следовать общему руководству по обеспечению безопасности в сфере АСУ ТП, а также отказаться от использования приложений из недоверенных источников.

Категории: Уязвимости