Według badaczy, którzy znaleźli lukę, krytyczna podatność w zabezpieczeniach niektórych systemów sterowania przemysłowego (ICS) firmy Siemens zaprojektowanych dla sektora energetycznego może pozwolić złośliwym aktorom na destabilizację sieci energetycznej.
Nie jest to pierwsza poważna luka u Siemensa. W 2019 roku pisaliśmy na ten temat tutaj.
Luka, śledzona jako CVE-2023-28489, wpływa na oprogramowanie sprzętowe CPCI85 produktów Sicam A8000 CP-8031 i CP-8050 i może zostać wykorzystana przez nieuwierzytelnionego atakującego do zdalnego wykonania kodu. Produkty te to zdalne terminale (RTU) przeznaczone do telesterowania i automatyzacji w sektorze zaopatrzenia w energię. Często są wykorzystywane w podstacjach.
Łatki dostępne są w wersjach firmware CPCI85 V05 lub nowszych, a niemiecki gigant przemysłowy zauważył, iż ryzyko nadużyć można ograniczyć, ustawiając odpowiednie dostępy do serwera WWW na portach TCP 80 i 443 dzięki Firewalla.
W poradniku opublikowanym 11 kwietnia Siemens podaje, iż dowiedział się o błędzie od zespołu badaczy z firmy konsultingowej ds. bezpieczeństwa cybernetycznego SEC Consult, która jest w tej chwili częścią Eviden, firmy należącej do Atos.
Johannes Greil, szef SEC Consult Vulnerability Lab, powiedział SecurityWeek, iż osoba atakująca, która może wykorzystać lukę CVE-2023-28489, jest w stanie przejąć pełną kontrolę nad urządzeniem i potencjalnie zdestabilizować sieć energetyczną, a choćby spowodować przerwy w dostawie prądu poprzez zmianę krytycznych parametrów automatyki. Aktorzy stanowiący zagrożenie mogą wykorzystać lukę również do zaimplementowania backdoorów.
Ekspert zauważył jednak, iż ponieważ urządzenia te są najczęściej używane w środowiskach infrastruktury krytycznej, są one zwykle „silnie zabezpieczone zaporą ogniową” i nie są dostępne bezpośrednio z Internetu.
„Nie można jednak wykluczyć, iż niektóre urządzenia mogą być dostępne za pośrednictwem połączeń dostępu do pomocy technicznej stron trzecich lub potencjalnych błędnych konfiguracji” — wyjaśnił Greil.
Wykorzystanie luki CVE-2023-28489 może umożliwić atakującemu, który ma dostęp sieciowy do docelowego urządzenia, uzyskanie pełnego dostępu do konta root bez uprzedniego uwierzytelnienia. Skorzystanie z podatności polega na wysłaniu specjalnie spreparowanego żądania HTTP do docelowego RTU.
Greil zwrócił uwagę, iż produkty Siemens Sicam są jednymi z pierwszych urządzeń na świecie, które otrzymały certyfikat „poziomu dojrzałości 4” w kategorii Industrial Cyber Security. Ten certyfikat, IEC62443-4-1, wskazuje, iż bezpieczeństwo było ważnym czynnikiem w całym procesie projektowania i rozwoju oraz iż produkt przeszedł rygorystyczne testy.
SEC Consult nie ujawnia w tej chwili żadnych szczegółów technicznych, aby zapobiec potencjalnemu niewłaściwemu wykorzystaniu informacji przez hakerów. Firma oświadczyła jednak, iż wykryła wiele luk w produktach Siemensa, które są w trakcie naprawy, a niektóre szczegóły techniczne zostaną ujawnione po wprowadzeniu poprawek.
