Подсистема GNU/Linux Siemens SIMATIC S7-1500 содержит более 20 уязвимостей

Подсистема GNU/Linux Siemens SIMATIC S7-1500 содержит более 20 уязвимостей

Проблемы затрагивают ядро Linux, библиотеку libxml2, реализацию OpenSSH и инструменты GNU Binutils.

Компания Siemens предупредила о наличии более двух десятков уязвимостей в ряде Linux- и GNU-компонентов в многофункциональной платформе CPU 1518(F)-4 PN/DP в составе промышленных контроллеров SIMATIC S7-1500, позволяющей запускать несколько приложений и использовать в программировании устройства функции, написанные на C/C++. В частности, проблемы затрагивают ядро Linux, программную библиотеку для анализа XML-документов libxml2, реализацию OpenSSH и инструменты GNU Binutils, используемые для создания, изменения и анализа бинарных файлов.

Согласно сообщению производителя, большинство проблем позволяют удаленно вызвать отказ в обслуживании контроллера с помощью специально сформированных файлов, а также иным способом повлиять на работу устройства. Компания не предоставила информацию, о каких потенциальных рисках идет речь.

В числе уязвимостей, затрагивающих ядро Linux, которые могут использоваться для атак на SIMATIC S7-1500, Siemens назвала CVE-2018-17972 и CVE-2018-17182. С их помощью злоумышленник может вызвать отказ в обслуживании устройства и (во втором случае) выполнить произвольный код.

Уязвимость в libxml2 также предоставляет возможность DoS-атак, проблема в OpenSSH позволяет провести атаку user enumeration (перечисление пользователей).

В настоящее время производитель готовит к выпуску обновления прошивки, призванные устранить вышеперечисленные проблемы, а пока рекомендует применить меры глубокоэшелонированной защиты и воздержаться от программирования и запуска на уязвимых устройствах приложений из недоверенных источников.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!