Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

В системах автоматизации зданий от Siemens обнаружены уязвимости

17/05/22

Siemens-1Исследователи компании Nozomi недавно проанализировали PXC4.E16 компании Siemens – программируемую систему автоматизации зданий (BAS) семейства Desigo, предназначенную для систем отопления, вентиляции и кондиционирования воздуха и предприятий по обслуживанию зданий и обнаружили, что ABT-инструмент для инжиниринга и ввода в эксплуатацию устройств Siemens уязвим для DoS-атак.

Уязвимость не критическая, но эксперты по кибербезопасности часто предупреждают, что в промышленных средах DoS-атака может иметь серьезные последствия.

Уязвимость CVE-2022-24040, связана с использованием функции деривации ключа PBKDF2 для защиты паролей пользователей. Вредоносный инсайдер или злоумышленник, имеющий доступ к профилю пользователя в ABT-инструменте, при попытке входа в аккаунт может вызвать состояние отказа в обслуживании у всей системы.

"Веб-приложение не ограничивает длину ключа PBKDF2 во время создания учетной записи или обновления ее настроек", – поясняет Siemens в своем сообщении. "Злоумышленник с привилегией доступа к профилю пользователя может вызвать состояние отказа в обслуживании, перегрузив процессор слишком длинным ключом PBKDF2, а затем попытавшись войти в учетную запись".

Тесты, проведенные Nozomi, показали, что в худшем случае злоумышленник может вывести устройство из строя на несколько дней, просто попытавшись войти в систему, а потом повторить попытку входа, чтобы продлить время простоя контроллера.

"Также возможно, что злоумышленники могут атаковать BAS, одновременно осуществляя разрушительную атаку на другие промышленные системы управления (ICS) на объекте. Если система пожарной сигнализации или другие системы подвергаются DDoS-атаке, это может усилить киберфизическую атаку", – предупредили специалисты Nozomi.

На этой неделе компания Siemens исправила CVE-2022-24040, а также шесть других уязвимостей, затрагивающих устройства Desigo PXC и DXR.

Темы:УгрозыDDoS-атакиSiemensУмный дом
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...