Według badaczy, którzy znaleźli lukę, krytyczna podatność w zabezpieczeniach niektórych systemów sterowania przemysłowego (ICS) firmy Siemens zaprojektowanych dla sektora energetycznego może pozwolić złośliwym aktorom na destabilizację sieci energetycznej.
Nie jest to pierwsza poważna luka u Siemensa. W 2019 roku pisaliśmy na ten temat tutaj.
Luka, śledzona jako CVE-2023-28489, wpływa na oprogramowanie sprzętowe CPCI85 produktów Sicam A8000 CP-8031 i CP-8050 i może zostać wykorzystana przez nieuwierzytelnionego atakującego do zdalnego wykonania kodu. Produkty te to zdalne terminale (RTU) przeznaczone do telesterowania i automatyzacji w sektorze zaopatrzenia w energię. Często są wykorzystywane w podstacjach.
Łatki dostępne są w wersjach firmware CPCI85 V05 lub nowszych, a niemiecki gigant przemysłowy zauważył, że ryzyko nadużyć można ograniczyć, ustawiając odpowiednie dostępy do serwera WWW na portach TCP 80 i 443 za pomocą Firewalla.
W poradniku opublikowanym 11 kwietnia Siemens podaje, że dowiedział się o błędzie od zespołu badaczy z firmy konsultingowej ds. bezpieczeństwa cybernetycznego SEC Consult, która jest obecnie częścią Eviden, firmy należącej do Atos.
Johannes Greil, szef SEC Consult Vulnerability Lab, powiedział SecurityWeek, że osoba atakująca, która może wykorzystać lukę CVE-2023-28489, jest w stanie przejąć pełną kontrolę nad urządzeniem i potencjalnie zdestabilizować sieć energetyczną, a nawet spowodować przerwy w dostawie prądu poprzez zmianę krytycznych parametrów automatyki. Aktorzy stanowiący zagrożenie mogą wykorzystać lukę również do zaimplementowania backdoorów.
Ekspert zauważył jednak, że ponieważ urządzenia te są najczęściej używane w środowiskach infrastruktury krytycznej, są one zazwyczaj „silnie zabezpieczone zaporą ogniową” i nie są dostępne bezpośrednio z Internetu.
„Nie można jednak wykluczyć, że niektóre urządzenia mogą być dostępne za pośrednictwem połączeń dostępu do pomocy technicznej stron trzecich lub potencjalnych błędnych konfiguracji” — wyjaśnił Greil.
Wykorzystanie luki CVE-2023-28489 może umożliwić atakującemu, który ma dostęp sieciowy do docelowego urządzenia, uzyskanie pełnego dostępu do konta root bez uprzedniego uwierzytelnienia. Skorzystanie z podatności polega na wysłaniu specjalnie spreparowanego żądania HTTP do docelowego RTU.
Greil zwrócił uwagę, że produkty Siemens Sicam są jednymi z pierwszych urządzeń na świecie, które otrzymały certyfikat „poziomu dojrzałości 4” w kategorii Industrial Cyber Security. Ten certyfikat, IEC62443-4-1, wskazuje, że bezpieczeństwo było ważnym czynnikiem w całym procesie projektowania i rozwoju oraz że produkt przeszedł rygorystyczne testy.
SEC Consult nie ujawnia obecnie żadnych szczegółów technicznych, aby zapobiec potencjalnemu niewłaściwemu wykorzystaniu informacji przez hakerów. Firma oświadczyła jednak, że wykryła wiele luk w produktach Siemensa, które są w trakcie naprawy, a niektóre szczegóły techniczne zostaną ujawnione po wprowadzeniu poprawek.