Team82 scopre 15 vulnerabilità nel sistema di gestione della rete di Siemens (SINEC NMS). Le vulnerabilità consentono attacchi denial of service, raccolta di credenziali ed esecuzione di codice in modalità remota.
I ricercatori di sicurezza di Team82, il dipartimento di ricerca dello specialista per la sicurezza dei sistemi cyber-fisici (CPS) nell'industria, nelle strutture sanitarie e nelle aziende Claroty, hanno scoperto un totale di 15 vulnerabilità nel sistema di gestione della rete Siemens (SINEC NMS). Ad esempio, CVE-2021-33723 consente agli aggressori di aumentare i propri privilegi e CVE-2021-33722 consente l'esecuzione di codice in modalità remota utilizzando un attacco Path Traversal. Tutte le versioni precedenti alla V1.0 SP2 Update 1 sono interessate. Siemens consiglia agli utenti di eseguire l'aggiornamento alla versione V1.0 SP2 Update 1 o successiva. Inoltre, Siemens ha pubblicato le relative istruzioni di sicurezza.
Vulnerabilità: Siemens fornisce l'aggiornamento
L'Industria 4.0 è guidata da una solida rete per aumentare l'efficienza e consentire lo scambio di dati 24 ore su 7, XNUMX giorni su XNUMX tra diversi dispositivi. Per poter fornire tale funzionalità, i sistemi di gestione della rete (NMS) monitorano e mantengono gli elementi della rete industriale. Inoltre, i dati di rete vengono sfruttati dalle funzioni di processo tramite OPC UA e altri protocolli di settore per consentire la correlazione della telemetria di processo e di rete, garantendo la continuità e il monitoraggio del processo. SINEC NMS di Siemens è uno strumento popolare per identificare i sistemi di controllo e i processi nella rete, le rispettive connessioni e dipendenze e il loro stato. La diagnostica generata dallo strumento e la topologia di rete consentono agli operatori di rilevare e rispondere agli eventi, migliorare le configurazioni, monitorare lo stato dei dispositivi e apportare aggiornamenti del firmware e modifiche alla configurazione.
Possibile attacco "Living-Off-The-Land".
Per fare ciò, SINEC ha accesso alle informazioni di accesso, alle chiavi crittografiche e ad altri segreti. Tuttavia, ciò può anche consentire ai criminali informatici di lanciare un efficace attacco "vivente fuori terra", in cui le credenziali legittime e gli strumenti di rete vengono utilizzati in modo improprio per eseguire attività dannose. Se hanno accesso a SINEC, possono utilizzarlo per esplorare la rete, spostarsi lateralmente e aumentare i propri privilegi. Team82 ha rilevato 15 diverse vulnerabilità in SINEC che potrebbero consentire a un utente malintenzionato di aumentare i privilegi, ottenere diritti amministrativi sul sistema, rubare informazioni riservate, lanciare un attacco Denial of Service sulla piattaforma e persino eseguire codice remoto sulla macchina host utilizzando NT AUTHORITY\ Privilegi di SISTEMA.
Nel frattempo, Siemens ha reso disponibili correzioni per diverse vulnerabilità di sicurezza e consiglia a tutti gli utenti di eseguire l'aggiornamento alla V1.0 SP2 Update 1 oa una versione successiva. Team82 desidera ringraziare espressamente Siemens per la collaborazione nella scoperta di queste vulnerabilità, per la rapida conferma dei risultati e per la rapida risoluzione di queste lacune di sicurezza.
Come appare in dettaglio questo attacco, una prova di concetto e ulteriori informazioni possono essere trovate nel corrispondente post sul blog di Claroty.
Altro su Claroty.com
A proposito di Claroty Claroty, la società di sicurezza informatica industriale, aiuta i suoi clienti globali a scoprire, proteggere e gestire le proprie risorse OT, IoT e IIoT. La piattaforma completa dell'azienda si integra perfettamente con l'infrastruttura e i processi esistenti dei clienti e offre un'ampia gamma di controlli di sicurezza informatica industriale per la trasparenza, il rilevamento delle minacce, la gestione dei rischi e delle vulnerabilità e l'accesso remoto sicuro, con un costo totale di proprietà notevolmente ridotto.