Siemens исправила опасную уязвимость во множестве своих продуктов
Siemens исправила опасную уязвимость CVE-2017-3737, которая затрагивает множество продуктов компании, задействованных в автоматизации процессов на производстве.
Уязвимость представляет собой проблему передачи данных в незашифрованном виде. В частности, в криптографическом пакете OpenSSL 1.0.2 был введен механизм «состояние ошибки», работающий некорректно, если функции SSL_read () или SSL_write () вызываются непосредственно приложением. Таким образом данные отправляются в виде простого текста с помощью протоколов SSL/TLS.
Для успешной эксплуатации злоумышленник должен вызвать сбой в алгоритме квитирования SSL/TLS. Для успешной атаки не требуется взаимодействие с пользователем или какие-либо привилегии.
Уязвимость затрагивает следующие продукты:
-
MindConnect IoT2040: Все версии до v03.01;
-
MindConnect Nano (IPC227D): Все версии до v03.01;
-
SIMATIC ET 200SP Open Controller CPU 1515SP PC (OC1): Все версии до v2.1;
-
SIMATIC HMI WinCC Flexible: Все версии;
-
SIMATIC IPC DiagBase: Все версии;
-
SIMATIC IPC DiagMonitor: Все версии;
-
SIMATIC S7-1200: Все версии;
-
SIMATIC S7-1500: Все версии до v2.5.2;
-
SIMATIC S7-1500 Software Controller: Все версии;
-
SIMATIC STEP 7 (TIA Portal): Все версии до v15 Update 2;
-
SIMATIC WinCC (TIA Portal): Все версии до v15 Update 2;
-
SIMATIC WinCC OA v3.14: Все версии;
-
SIMATIC WinCC OA v3.15: Все версии;
-
SIMATIC WinCC OA v3.16: Все версии.
Пользователям рекомендуется как можно скорее установить выпущенные производителем обновления.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш