Zestawienie tygodniowe 14 – 21 czerwca

Podatności wpływające na produkty Simensa

ODA to organizacja non-profit, która tworzy pakiety SDK do zastosowań inżynierskich, w tym projektowania wspomaganego komputerowo (CAD), systemów informacji geograficznej (GIS), budownictwa, zarządzania cyklem życia produktu (PLM) oraz Internetu rzeczy (IoT). Jej strona internetowa informuje, że organizacja zrzesza 1200 firm członkowskich na całym świecie, a jej produkty są używane przez kilka dużych firm, w tym Siemens, Microsoft, Bentley i Epic Games.

Mat Powell i Brian Gorenc z programu Zero Day Initiative (ZDI) Trend Micro odkryli, że w pakiecie ODA Drawings SDK, zaprojektowanym w celu zapewnienia dostępu do wszystkich danych w plikach projektowych .dwg i .dgn, występuje kilka luk, które można wykorzystać, np. przekonując użytkowników, aby otworzyli specjalnie spreparowany plik.

Badacze ZDI odkryli wady w narzędziu do przeglądania 3D JT firmy Siemens JT2Go, ale dalsza analiza wykazała, że problemy zostały faktycznie wprowadzone przez użycie zestawu Drawings SDK.

Na swojej stronie internetowej ODA opisuje SDK jako „wiodącą technologię do pracy z plikami .dwg” i twierdzi, że jest używany przez setki firm w tysiącach aplikacji. Oznacza to, że luki mogą mieć wpływ na wiele innych produktów. Dustin Childs, menedżer ds. komunikacji w ZDI, powiedział, że firma spodziewa się, że Siemens wkrótce wyda poprawki.

Luki, które zostały ocenione jako wysokie i średnie. Mogą zostać wykorzystane do wywołania odmowy usługi (DoS), wykonania dowolnego kodu lub uzyskania potencjalnie poufnych informacji poprzez nakłonienie docelowego użytkownika do otwarcia specjalnie spreparowanych plików DWG lub DGN za pomocą aplikacji korzystającej z zestawu SDK.

Amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) w opublikowanej informacji doradza firmom korzystającym z Drawings SDK zaktualizowania go do wersji 2022.5 lub nowszej.

Niejawne posiedzenie sejmu dotyczące cyberataków

Z reguły i z zasady nie zajmujemy się polityką. Niemniej z „kronikarskiego obowiązku” przypominamy, że 16 czerwca odbyło się niejawne posiedzenie Sejmu. Utajnienie obrad miało miejsce na wniosek Premiera Mateusza Morawieckiego, aby przedstawić skalę ataków cybernetycznych, które dotknęły Polskę.

Utajnienie obrad Sejmu możliwe jest wyłącznie wtedy, kiedy wymaga tego dobro Państwa i najnowsza historia notuje tego typu fakty. Czy utajnione posiedzenia wymagały tego typu środków ostrożności? Zdania są podzielone. Podobnie w najnowszym przypadku. Według posłów, którzy wypowiadali się po posiedzeniu, niczego nowego (czytaj tajnego) się nie dowiedzieli, a skala cyberataków sprowadzała się do przejęcia skrzynek kilku polityków (min. Ministra Michała Dworczyka) i wykorzystanie przejętych danych do dezinformacji. Oczywiście został wskazany winny i tu też brak zaskoczenia! Jego nazwisko rymuje się z większością wyrazów z końcówką …utin!