Team82 descobre 15 vulnerabilidades no sistema de gerenciamento de rede da Siemens (SINEC NMS). As vulnerabilidades permitem ataques de negação de serviço, coleta de credenciais e execução remota de código.
Os pesquisadores de segurança da Team82, o departamento de pesquisa do especialista em segurança de sistemas ciberfísicos (CPS) na indústria, estabelecimentos de saúde e empresas Claroty, descobriram um total de 15 vulnerabilidades no sistema de gerenciamento de rede da Siemens (SINEC NMS). Por exemplo, CVE-2021-33723 permite que invasores aumentem seus privilégios e CVE-2021-33722 permite a execução remota de código usando um ataque path traversal. Todas as versões anteriores à V1.0 SP2 Update 1 são afetadas. A Siemens aconselha os usuários a atualizar para V1.0 SP2 Update 1 ou uma versão posterior. Além disso, a Siemens publicou instruções de segurança correspondentes.
Vulnerabilidades: Siemens fornece atualização
A Indústria 4.0 é impulsionada por uma forte rede para aumentar a eficiência e permitir a troca de dados 24 horas por dia, 7 dias por semana entre diferentes dispositivos. Para poder fornecer tal funcionalidade, os sistemas de gerenciamento de rede (NMS) monitoram e mantêm os elementos da rede industrial. Além disso, os dados da rede são aproveitados das funções do processo via OPC UA e outros protocolos do setor para permitir a correlação do processo e da telemetria da rede, garantindo a continuidade e o monitoramento do processo. O SINEC NMS da Siemens é uma ferramenta popular para identificar sistemas e processos de controle na rede, suas respectivas conexões e dependências e seu status. Os diagnósticos gerados pela ferramenta e a topologia de rede permitem que os operadores detectem e respondam a eventos, melhorem as configurações, monitorem a integridade do dispositivo e façam atualizações de firmware e alterações de configuração.
Possível ataque “Living-Off-The-Land”
Para isso, o SINEC tem acesso às informações de login, chaves criptográficas e outros segredos. No entanto, isso também pode permitir que os cibercriminosos lancem um ataque eficaz de "viver fora da terra", onde credenciais legítimas e ferramentas de rede são mal utilizadas para realizar atividades maliciosas. Se tiverem acesso ao SINEC, podem usá-lo para explorar a rede, mover-se lateralmente e escalar seus privilégios. O Team82 encontrou 15 vulnerabilidades diferentes no SINEC que podem permitir que um invasor aumente seus privilégios, obtenha direitos administrativos no sistema, roube informações confidenciais, acione um ataque de negação de serviço na plataforma e até mesmo código remoto executado na máquina host usando NT AUTHORITY \privilégios do SISTEMA.
Os invasores podem combinar as vulnerabilidades da Siemens (SINEC NMS) para executar o código remotamente (Imagem: Claroty)
Enquanto isso, a Siemens disponibilizou correções para várias vulnerabilidades de segurança e aconselha todos os usuários a atualizar para V1.0 SP2 Update 1 ou uma versão posterior. O Team82 gostaria de agradecer expressamente à Siemens por sua cooperação na descoberta dessas vulnerabilidades, por confirmar rapidamente os resultados e por resolver rapidamente essas falhas de segurança.
A aparência desse ataque em detalhes, uma prova de conceito e mais informações podem ser encontradas na postagem de blog correspondente da Claroty.
Mais em Claroty.com
Sobre a Claroty A Claroty, a Industrial Cybersecurity Company, ajuda seus clientes globais a descobrir, proteger e gerenciar seus ativos OT, IoT e IIoT. A plataforma abrangente da empresa integra-se perfeitamente com a infraestrutura e os processos existentes dos clientes e oferece uma ampla gama de controles industriais de segurança cibernética para transparência, detecção de ameaças, gerenciamento de riscos e vulnerabilidades e acesso remoto seguro - com custo total de propriedade significativamente reduzido.