Подсистема GNU/Linux Siemens SIMATIC S7-1500 содержит более 20 уязвимостей
Компания Siemens предупредила о наличии более двух десятков уязвимостей в ряде Linux- и GNU-компонентов в многофункциональной платформе CPU 1518(F)-4 PN/DP в составе промышленных контроллеров SIMATIC S7-1500, позволяющей запускать несколько приложений и использовать в программировании устройства функции, написанные на C/C++. В частности, проблемы затрагивают ядро Linux, программную библиотеку для анализа XML-документов libxml2, реализацию OpenSSH и инструменты GNU Binutils, используемые для создания, изменения и анализа бинарных файлов.
Согласно сообщению производителя, большинство проблем позволяют удаленно вызвать отказ в обслуживании контроллера с помощью специально сформированных файлов, а также иным способом повлиять на работу устройства. Компания не предоставила информацию, о каких потенциальных рисках идет речь.
В числе уязвимостей, затрагивающих ядро Linux, которые могут использоваться для атак на SIMATIC S7-1500, Siemens назвала CVE-2018-17972 и CVE-2018-17182. С их помощью злоумышленник может вызвать отказ в обслуживании устройства и (во втором случае) выполнить произвольный код.
Уязвимость в libxml2 также предоставляет возможность DoS-атак, проблема в OpenSSH позволяет провести атаку user enumeration (перечисление пользователей).
В настоящее время производитель готовит к выпуску обновления прошивки, призванные устранить вышеперечисленные проблемы, а пока рекомендует применить меры глубокоэшелонированной защиты и воздержаться от программирования и запуска на уязвимых устройствах приложений из недоверенных источников.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш