Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Siemensen produktuetan

Argitalpen data: 2018/11/13

Garrantzia: Handia

Kaltetutako baliabideak:

  • S7-400 CPUak (CVE-2018-16556 eta CVE-2018-16557):
    • SIMATIC S7-400 V6 (F barne) eta baxuagoak, bertsio guztiak.
    • SIMATIC S7-400 PN/DP V7 (F barne), bertsio guztiak.
    • SIMATIC S7-400H V4.5 eta baxuagoak, bertsio guztiak.
    • SIMATIC S7-410, 8.2.1 bertsioa baino lehenagoko guztiak.
  • SIMATIC HMI 4" - 22" panelak, SIMATIC HMI Comfort Outdoor 7" eta 15" panelak, SIMATIC HMI KTP KTP400F, KTP700, KTP700F, KTP900 eta KTP900F panel mugikorrak, SIMATIC WinCC Runtime Advanced, SIMATIC WinCC Runtime Professional, SIMATIC WinCC Runtime Professional eta SIMATIC WinCC Runtime Professional, 15 Update 4 baino lehenagoko bertsio guztiak. (CVE-2018-13814, CVE-2018-13812 eta CVE-2018-13813)
  • SCALANCE S602, SCALANCE S612, SCALANCE S623 eta SCALANCE S627-2M, 4.0.1.1 bertsioa baino lehenagokoak (CVE-2018-16555)
  • SIMATICS S7-1200, bertsio guztiak (CVE-2018-13815)
  • SIMATICS S7-1500, 2.6 bertsioa baino lehenagoko guztiak (CVE-2018-13815)
  • SIMATIC STEP 7, 15.1 bertsioa baino lehenagoko guztiak (CVE-2018-13811)
  • SIMATIC IT LMS, bertsio guztiak (CVE-2018-13804)
  • SIMATIC IT Production Suite, 7.1 Upd3 bertsioa baino lehenagoko guztiak (CVE-2018-13804)
  • SIMATIC IT UA Discrete Manufacturing, 1.2 eta 1.3, 2.3, 2.4 bertsioak baino lehenagoko guztiak (CVE-2018-13804)

Azalpena:

Siemensek hainbat eratako ahultasunen berri eman du: HTTP goiburuen injekzioa, kontrolatu gabeko URLetara birbideratzeak, XSS, paketeen kudeaketa okerra, autentifikazioari ihes egitea eta pasahitzak testu lauan gordetzea. Horiek baliatuz, gailuetara edo kaltetutako baliabideak dauden sareetara sarbidea lukeen erasotzaile batek ekintza ezberdinak egin litzake: zerbitzuaren ukapen egoerak eragin, informazio sentikorra eskuratu, web bidez bezeroaren aldean exekuzioak egin eta kaltetutako plataformetan erregistratuta dauden erabiltzaileak engainatu, ondoren asmo gaiztoko ekintzak egiteko.

Siemensek ondorengo CERT eta ikertzaileei eskerrak helarazi nahi dizkie ondoko ahultasunak koordinatzeagatik:

  • CNCERT/CC (CVE-2018-16556)
  • Carthage Red Team-eko Hosni Tounsi (CVE-2018-13812)
  • Applied Risk-eko Nelson Berg (CVE-2018-16555)
  • Nozomi Networks-eko Younes Dragoni eta ICS-CERT (CVE-2018-13813)

Gainerako ahultasunak Siemensen beraren segurtasun ekipoak kudeatu ditu.

Konponbidea:

Ahultasunak arintzeko Siemensek ondoko ekintzak egitea gomendatzen du:

  • CVE-2018-16557:
    • 3. mailako babesa konfiguratzea (irakurketa/idazketaren babesa)
  • CVE-2018-16556:
    • CPU SIMATIC S7-CPU 410en kasuan, PCS 7 V9.0n eremuaren interfazearen segurtasuna aktibatzea eta ES/OSekin komunikatzeko SIMATIC CP443-1 Adv. bat erabiltzea.
    • Siemensek argitaratutako defentsa sakonaren kontzeptua aplikatzea.
  • CVE-2018-13812 eta CVE-2018-13813:
    • Kaltetutako web zerbitzariak dauden sarera sarbidea murriztea.
    • Web zerbitzaria desaktibatzea ez bada erabiltzen ari. Web zerbitzaria desgaituta dago modu lehenetsian.

Ondoren zehazten diren ahultasunek kaltetutako produktu guztietarako Siemensek partxeak eta eguneraketak argitaratu ditu:

  • CVE-2018-13814:
    • SIMATIC HMI 4" - 22" panelak, SIMATIC HMI Comfort Outdoor 7" eta 15" panelak, SIMATIC HMI KTP KTP400F, KTP700, KTP700F, KTP900 eta KTP900F panel mugikorrak: SIMATIC WinCC (TIA Portal) eguneratzea V15 Update 4 edo berriagora eta ondoren panela eguneratzea V15 Update 4 bertsiora edo berriagora.
    • SIMATIC WinCC Runtime Advanced, SIMATIC WinCC Runtime Professional, SIMATIC WinCC Runtime Professional eta SIMATIC WinCC Runtime Professional: V15 Update 4 bertsiora edo berriagora eguneratzea.
  • CVE-2018-16555:
    • SCALANCE S602, SCALANCE S612, SCALANCE S623 eta SCALANCE S627-2M gailuen kasuan, Siemensek 4.0.1.1 bertsiora eguneratzea gomendatzen du.
  • CVE-2018-13815:
    • S7-1500: 2.6 bertsiora eguneratzea.
    • S7-1200: ondoko jarraibideak bete:
      • Kaltetutako gailuen 102/tcp atakaren sareko sarbidea babestea.
      • Gelaxkaren babes kontzeptua aplikatzea.
      • Defentsa sakona aplikatzea.
  • CVE-2018- 13811:
    • SIMATIC STEP 7: 15.1 bertsiora eguneratzea.
  • CVE-2018-13804:

Xehetasuna:

Ahultasun horietako batzuk arrakastaz baliatuz gero, ondokoak eragin litezke:

  • Zerbitzua ukatzea: Ahultasun horietarako CVE-2018-16556 eta CVE-2018-16557 identifikatzaileak erabili dira.
  • Direktorio jauzia: Ahultasun horretarako CVE-2018-13812 identifikatzailea erabili da.
  • Kontrolatu gabeko URLetara birbideratzeak: Ahultasun horretarako CVE-2018-13813 identifikatzailea erreserbatu da.
  • HTTP goiburuen injekzioa: Ahultasun horretarako CVE-2018-13814 identifikatzailea erreserbatu da.
  • Cross-Site Scripting (XSS): Ahultasun horretarako CVE-2018-16555 identifikatzailea erabili da.
  • Zerbitzua ukatzea: Ahultasun horretarako CVE-2018-13813 identifikatzailea erabili da.
  • Hash ahularekin gordetako pasahitzak: Ahultasun horretarako CVE-2018-13811 identifikatzailea erabili da.
  • Autentifikazioari ihes egitea: Ahultasun horretarako CVE-2018-13804 identifikatzailea erabili da.
Etiketak: Eguneraketa, Komunikazioak, Siemens, Ahultasuna