Siemens, производитель промышленных систем автоматизированного управления (АСУ), выпустила новую версию своего процессорного семейства SIMATIC S7-1200, закрыв шесть уязвимостей в этом продукте и еще две уязвимости в SIMATIC S7-1200 PLC (программируемом логическом контроллере).

Эти патчи достаточно критичны, чтобы получить гарантированные оповещения на веб-сайте The Industrial Control Systems Cyber Emergency Response Team (команда быстрого киберреагирования АСУ).

Все шесть багов в процессорах семейства SIMATIC S7-1200 CPU могут эксплуатироваться удаленно, ему подвержены все продукты версий до V4.0. Эти уязвимости — на устаревших системах — могут потенциально дать злоумышленнику возможность проведения DoS-атаки отправкой специально созданных сетевых пакетов HTTP(S), ISO-TSAP или Profinet. Помимо этого встроенный веб-сервер в этом продукте также уязвим для кросс-сайтовой подделки запроса и атаки эскалации привилегий. Каждая из этих атак может проводиться без аутентификации в сети.

Системы SIMATIC S7-1200 PLC содержат две уязвимости проверки неправильного ввода, которые также можно проводить удаленно. Опять же знающий злоумышленник может использовать эти баги для проведения DoS-атаки.

Как это обычно бывает, эффект от всех перечисленных багов почти полностью зависит от способа внедрения конкретной системы.

Ральф Спенберг из компании OpenSource Training, Люсьен Кожокар из EURECOM, Саша Жинке из команды SCADACS FU Berlin и исследователи Алексей Осипов и Алекс Тиморин из компании Positive Technologies обнаружили шесть дыр в процессорах семейства SIMATIC S7-1200. Тут вы можете прочитать более детальное описание этих ошибок.

Профессор Хартмут Пол из шведского агентства оборонных исследований обнаружил уязвимости в Siemens SIMATIC S7-1200 PLC. Тут вы можете прочитать больше об этих уязвимостях.

Программное обеспечение SCADA, оборудование АСУ и системы критической инфраструктуры всегда уязвимы. Хуже того, по мере того как производители операционных систем становятся круче и круче в плане безопасности, делая свои продукты все более сложными для создания успешных эксплойтов для них, хакеры обращаются к более простым целям. Состояние безопасности критической инфраструктуры столь плачевно, что некоторые эксперты поднимают вопрос о создании системы сертификации специалистов по безопасности АСУ.

Категории: Уязвимости