Team82 виявила 15 вразливостей у системі керування мережею Siemens (SINEC NMS). Уразливості дозволяють атаки на відмову в обслуговуванні, збір облікових даних і віддалене виконання коду.
Дослідники безпеки з Team82, дослідницького відділу спеціаліста з безпеки кіберфізичних систем (CPS) у промисловості, закладах охорони здоров’я та компаніях Claroty, виявили загалом 15 уразливостей у системі керування мережею Siemens (SINEC NMS). Наприклад, CVE-2021-33723 дозволяє зловмисникам підвищувати свої привілеї, а CVE-2021-33722 дозволяє віддалене виконання коду за допомогою атаки обходу шляху. Це стосується всіх версій до V1.0 SP2 Update 1. Siemens радить користувачам оновити до V1.0 SP2 Update 1 або пізнішої версії. Крім того, компанія Siemens опублікувала відповідні інструкції з техніки безпеки.
Уразливості: Siemens надає оновлення
Industry 4.0 ґрунтується на потужній мережі для підвищення ефективності та забезпечення цілодобового обміну даними між різними пристроями. Щоб забезпечити таку функціональність, системи керування мережею (NMS) контролюють і обслуговують елементи промислової мережі. Крім того, мережеві дані використовуються з функцій процесу через OPC UA та інші галузеві протоколи, щоб уможливити кореляцію процесу та телеметрії мережі, забезпечуючи безперервність процесу та моніторинг. SINEC NMS від Siemens є популярним інструментом для ідентифікації систем керування та процесів у мережі, їхніх відповідних зв’язків і залежностей, а також їх статусу. Діагностика, створена інструментом, і топологія мережі дозволяють операторам виявляти події та реагувати на них, покращувати конфігурації, контролювати стан пристрою, а також оновлювати мікропрограмне забезпечення та змінювати конфігурацію.
Можлива атака «живуть поза межами землі».
Для цього SINEC має доступ до інформації для входу, криптографічних ключів та інших секретів. Однак це також може дозволити кіберзлочинцям здійснити ефективну атаку «живуть поза межами землі», коли законні облікові дані та мережеві інструменти зловживають для виконання зловмисних дій. Якщо вони мають доступ до SINEC, вони можуть використовувати його, щоб досліджувати мережу, переміщатися вбік і підвищувати свої привілеї. Команда Team82 виявила 15 різних уразливостей у SINEC, які можуть дозволити зловмиснику збільшити свої привілеї, отримати права адміністратора системи, викрасти конфіденційну інформацію, ініціювати атаку на відмову в обслуговуванні на платформі та навіть віддалений запуск коду на головній машині за допомогою NT AUTHORITY \SYSTEM привілеї.
Зловмисники можуть об’єднати вразливості Siemens (SINEC NMS) для віддаленого виконання коду (Зображення: Claroty)
Тим часом Siemens зробив доступними виправлення для кількох вразливостей безпеки та радить усім користувачам оновити до V1.0 SP2 Update 1 або пізнішої версії. Team82 висловлює щиру подяку Siemens за співпрацю у виявленні цих вразливостей, за швидке підтвердження результатів і швидке усунення цих прогалин у безпеці.
Детальний вигляд цієї атаки, підтвердження концепції та додаткову інформацію можна знайти у відповідній публікації блогу Claroty.
Більше на Claroty.com
Про Клароті Claroty, компанія промислової кібербезпеки, допомагає своїм глобальним клієнтам виявляти, захищати та керувати своїми активами OT, IoT та IIoT. Комплексна платформа компанії бездоганно інтегрується з існуючою інфраструктурою та процесами клієнтів і пропонує широкий спектр засобів контролю промислової кібербезпеки для прозорості, виявлення загроз, управління ризиками та вразливістю та безпечного віддаленого доступу – зі значно зниженою загальною вартістю володіння.