В популярном стеке TCP/IP от Siemens исправлены 13 уязвимостей

В популярном стеке TCP/IP от Siemens исправлены 13 уязвимостей

NUCLEUS:13 позволяют вызывать аварийное завершение работы, похищать информацию и захватывать контроль над уязвимым устройством.

Специалисты компаний Forescout и Medigate Labs раскрыли подробности о 13 уязвимостях в чрезвычайно важной программной библиотеке Siemens, использующейся в медицинском оборудовании, автомобилях и промышленных устройствах.

Получившие общее название NUCLEUS:13 уязвимости присутствуют в Nucleus NET - стеке TCP/IP операционной системы реального времени Siemens Nucleus, обычно запускаемой на материнских платах (SoC) внутри медицинских аппаратов, автомобилей, смартфонов, IoT-устройств, промышленных ПЛК и пр.

Уязвимости NUCLEUS:13 позволяют вызывать аварийное завершение работы, похищать информацию и захватывать контроль над устройством с устаревшими версиями Nucleus. Самой опасной является уязвимость удаленного выполнения кода CVE-2021-31886.

Специалисты Forescout оказали содействие Siemens и US ICS-CERT в исправлении уязвимостей до обнародования сведений о них.

ICS-CERT опубликовала уведомление о NUCLEUS:13 для организаций в США, а Siemens разослала обновления безопасности своим клиентам через частный портал CERT.

Исследователь из Forescout Станислав Дашевский также опубликовал PoC-видео, в котором продемонстрировал практическую эксплуатацию NUCLEUS:13 для получения контроля над уязвимыми устройствами. По его словам, атакующему достаточно лишь подключиться к устройству, а сама атака занимает считанные секунды.

Уязвимости NUCLEUS:13 являются пятой и последней частью исследовательского проекта Project Memoria, в рамках которого исследователи из Forescout изучали популярные стеки TCP/IP на предмет наличия в них уязвимостей.

В общей сложности в рамках Project Memoria было обнаружено 97 уязвимостей в 14 стеках TCP/IP: AMNESIA:33 , NUMBER:JACK , NAME:WRECK , INFRA:HALT и NUCLEUS:13.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.