В продуктах Siemens обнаружены уязвимости, приводящие к отказу в обслуживании
Уязвимости обнаружили Виктор Никитин, Владислав Сучков и Илья Карпов из ScadaX — независимой группы экспертов, специализирующихся на защите автоматизированных систем управления технологическими процессами и IoT-устройств.
Уязвимости обнаружены в следующих продуктах Siemens:
- IEC-61850-модификация программного обеспечения для Ethernet-модулей EN100: ниже версии 4.33;
- PROFINET-IO-модификация программного обеспечения для Ethernet-модулей EN100: все версии;
- Modbus-TCP-модификация программного обеспечения для Ethernet-модулей EN100: все версии;
- DNP3-TCP-модификация программного обеспечения для Ethernet-модулей EN100: все версии;
- IEC-104-модификация программного обеспечения для Ethernet-модулей EN100: все версии;
- реле SIPROTEC 5 с ЦПУ CP300 и CP100 и соответствующими коммуникационными Ethernet-модулями: ниже версии 7.80;
- реле SIPROTEC 5 с ЦПУ CP200 и соответствующими коммуникационными Ethernet-модулями: все версии.
Ethernet-модули EN100 используются для обеспечения связи в протоколах стандарта IEC 61850, PROFINET IO, Modbus, DNP3 и IEC 104 посредством электрических или оптических 100-мегабитных интерфейсах в устройствах SIPROTEC 4, SIPROTEC Compact и Reyrolle. SIPROTEC 5 представляет собой многофункциональное реле для защиты, управления, измерений и автоматизации, применяемые на подстанциях и в других областях.
Эксплуатация уязвимостей осуществляется по протоколу MMS стандарта IEC 61850.
В модулях EN100 и SIPROTEC 5 существуют две уязвимости, которые могут быть использованы злоумышленником путем отправки специально сформированных пакетов на TCP-порт 102 целевого устройства, что в случае успеха позволит добиться отказа в обслуживании (DoS) сетевого функционала устройства и таким образом скомпрометировать работоспобность системы. Для успешной атаки злоумышленнику необходим доступ к сети целевой организации. Эксплуатация уязвимостей осуществляется по протоколу MMS стандарта IEC 61850. Восстановление полноценной работы модулей EN100 необходимо проводить вручную.
Уязвимости схожи между собой, однако одна из них (CVE-2018-11451) классифицирована как более опасная (7,5 по CVSS v3.0), в то время как вторая проблема (CVE-2018-11452), затрагивающая модуль EN100, имеет среднюю степень опасности (5,9 по CVSS v3.0) и может быть использована только в случае работы осциллографов. В SIPROTEC 5 присутствует только более серьезная уязвимость CVE-2018-11451. На момент публикации доклада (11 июля 2018 года) не было известно ни одного случая публичного использования этих уязвимостей.
Siemens рекомендует обновить ПО для некоторых уязвимых устройств: IEC-61850-модификация программного обеспечения для Ethernet-модулей EN100 — до версии 4.33, реле SIPROTEC 5 с ЦПУ CP300 и CP100 — до версии 7.80. Пользователям также рекомендуется заблокировать доступ к порту 102 с помощью межсетевого экрана для предотвращения атак на те модели устройств, для которых еще не выпущены обновления, и применять общие защитные меры. [cert-portal.siemens.com, securitylab.ru]