Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

В системах автоматизации зданий от Siemens обнаружены уязвимости

17/05/22

Siemens-1Исследователи компании Nozomi недавно проанализировали PXC4.E16 компании Siemens – программируемую систему автоматизации зданий (BAS) семейства Desigo, предназначенную для систем отопления, вентиляции и кондиционирования воздуха и предприятий по обслуживанию зданий и обнаружили, что ABT-инструмент для инжиниринга и ввода в эксплуатацию устройств Siemens уязвим для DoS-атак.

Уязвимость не критическая, но эксперты по кибербезопасности часто предупреждают, что в промышленных средах DoS-атака может иметь серьезные последствия.

Уязвимость CVE-2022-24040, связана с использованием функции деривации ключа PBKDF2 для защиты паролей пользователей. Вредоносный инсайдер или злоумышленник, имеющий доступ к профилю пользователя в ABT-инструменте, при попытке входа в аккаунт может вызвать состояние отказа в обслуживании у всей системы.

"Веб-приложение не ограничивает длину ключа PBKDF2 во время создания учетной записи или обновления ее настроек", – поясняет Siemens в своем сообщении. "Злоумышленник с привилегией доступа к профилю пользователя может вызвать состояние отказа в обслуживании, перегрузив процессор слишком длинным ключом PBKDF2, а затем попытавшись войти в учетную запись".

Тесты, проведенные Nozomi, показали, что в худшем случае злоумышленник может вывести устройство из строя на несколько дней, просто попытавшись войти в систему, а потом повторить попытку входа, чтобы продлить время простоя контроллера.

"Также возможно, что злоумышленники могут атаковать BAS, одновременно осуществляя разрушительную атаку на другие промышленные системы управления (ICS) на объекте. Если система пожарной сигнализации или другие системы подвергаются DDoS-атаке, это может усилить киберфизическую атаку", – предупредили специалисты Nozomi.

На этой неделе компания Siemens исправила CVE-2022-24040, а также шесть других уязвимостей, затрагивающих устройства Desigo PXC и DXR.

Темы:УгрозыDDoS-атакиSiemensУмный дом
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...