Siemens исправила ряд уязвимостей в SINAMICS и SCALANCE

Компания Siemens исправила проблемы с безопасностью в своих продуктах SINAMICS и SCALANCE. Продукты серии SINAMICS представляют собой частотные преобразователи, использующиеся на предприятиях критической инфраструктуры, в том числе в химической, электроэнергетической, транспортной и пищевой промышленности, а также в сфере здравоохранения и социальных служб. Уязвимость неконтролируемого потребления ресурсов в SINAMICS позволяет злоумышленнику вызвать отказ в обслуживании. Проблема затрагивает web-сервер устройства и позволяет его перезагружать. Для осуществления атаки злоумышленник должен иметь доступ к уязвимому продукту через сеть. Наличие повышенных привилегий или участие пользователя не требуются. Уязвимость получила идентификатор CVE-2019-6568 и оценку 7,5 из 10 по системе оценивания опасности уязвимостей CVSS v3. Проблема была исправлена в версии SINAMICS v4.8 SP2 HF9. Управляемые коммутаторы SCALANCE используются на предприятиях химической, электроэнергетической и пищевой промышленности, а также в системах очистки воды. CVE-2019-10927: Позволяет авторизованному атакующему с доступом к порту 22/TCP на уязвимом устройстве вызвать отказ в обслуживании. Для осуществления атаки участие со стороны пользователя не требуется. По системе оценивания опасности уязвимостей CVSS v3 проблема получила оценку 6,5 из 10. CVE-2019-10928: Позволяет авторизованному злоумышленнику с доступом к порту 22/TCP и физическим доступом к устройству выполнять произвольные команды. По системе оценивания опасности уязвимостей CVSS v3 проблема получила оценку 6,6 из 10. В настоящее время Siemens выпустила обновление только для SCALANCE SC-600 (версия 2.0.1). В качестве меры предосторожности компания рекомендует пользователям отключить порт 22/TCP, ограничить физический доступ к уязвимым устройствам и использовать встроенный межсетевой экран в SCALANCE SC-600. Ранее Siemens также исправила уязвимость в управляемых коммутаторах Siemens SCALANCE X.