В часах Siemens обнаружены бреши

04 июля 2018 г., среда

Поскольку срок поддержки SICLOCK TC100 и TC400 подходит к концу, обновлений прошивки не будет.

Компания Siemens информирует пользователей, что в ее системах синхронизации времени SICLOCK TC100 и TC400 содержатся опасные уязвимости. Поскольку срок поддержки этих продуктов подходит к концу, обновлений прошивки не будет, можно лишь принять дополнительные меры защиты от эксплойта.

Часы SICLOCK призваны обеспечивать стабильность производства в случае отказа основного источника времени или сбоя его приемника синхросигналов. Модель TC100 предназначена для использования на скромных производственных линиях, TC400 — на заводах покрупнее.

Согласно бюллетеню Siemens, из шести уязвимостей, выявленных в SICLOCK TC100 и SICLOCK TC400, три оценены как критические. Брешь CVE-2018-4851 (9,1 балла по шкале CVSS) позволяет при наличии доступа к сети вызвать на целевом устройстве состояние отказа в обслуживании и потенциально повлечь его перезапуск. Эксплойт не требует взаимодействия с пользователем и осуществляется подачей на устройство особых пакетов. Основная функциональность часов при этом нарушается и может быть восстановлена лишь по завершении синхронизации с GPS-устройствами или другими серверами NTP.

Уязвимость CVE-2018-4853 (9,8 балла) открывает возможность для модификации прошивки при условии, что у автора атаки есть доступ к UDP-порту 69. Эксплойт в данном случае тоже не требует участия пользователя и позволяет выполнить вредоносный код на устройстве.

Наличие доступа к порту 69 позволяет воспользоваться еще одной критической уязвимостью — CVE-2018-4854. С помощью этой бреши, оцененной в 9,6 балла, атакующий сможет привнести изменения в административный клиент на устройстве. Если законный пользователь загрузит эту программу и запустит на исполнение, клиентская система окажется скомпрометированной.

Эксплойт бреши CVE-2018-4852 высокой степени опасности (7,4 балла) тоже осуществляется по сети и позволяет тому, кто знаком с целевым устройством SICLOCK, считать и изменить конфигурационный файл в обход аутентификации.

Остальные уязвимости менее опасны. Одна из них открывает возможность для MitM-атаки и перехвата незашифрованных паролей, хранящихся в файле конфигурации клиента. Другая брешь позволяет при наличии прав доступа к интерфейсу управления заблокировать законных пользователей, статус которых придется восстанавливать вручную.

Перечисленным уязвимостям подвержены все версии SICLOCK TC100/TC400. Данных об их использовании в реальных атаках у Siemens нет. Чтобы уменьшить риски, производитель рекомендует запастись резервными источниками синхронизации, регулярно проводить специальную проверку критически важных контроллеров, защитить доступ по сети к уязвимым SICLOCK экранами и ввести фильтрацию всех портов, кроме тех, которые нужны для осуществления синхронизации.

Threatpost