Критическая уязвимость в ПЛК Siemens SIMATIC позволяет украсть мастер-ключ

Татьяна Никитина 12 Октября 2022 - 18:37

...

Критическая уязвимость в ПЛК Siemens SIMATIC позволяет украсть мастер-ключ

Исследователи из Claroty обнаружили, что общий криптоключ, встроенный в контроллеры Siemens SIMATIC, можно извлечь и использовать для захвата контроля над любым ПЛК семейства или проведения атаки «человек посередине» (MitM) с целью подмены данных, которыми ПЛК обмениваются с панелью оператора (HMI) и рабочими станциями инженера.

Новая угроза, получившая идентификатор CVE-2022-38465 (9,3 балла CVSS), была выявлена в ходе очередного аудита продуктов Siemens SIMATIC. Аналитики характеризуют ее как неадекватную защиту закрытого ключа, который используется для шифрования конфиденциальных данных конфигурации (паролей на доступ, криптоключей для защиты каналов связи), а также коммуникаций между устройствами программирования и HMI.

Как оказалось, встроенный в ПЛК SIMATIC приватный ключ не хранится в файлах прошивки, его можно отыскать только прямым доступом к памяти. С этой целью эксперты применили эксплойт CVE-2020-15782, позволяющий выйти из песочницы и выполнить произвольный код в системе.

Поскольку контроллеры SIMATIC используют один и тот же приватный ключ, подобная атака на одного представителя семейства открывает доступ ко всем проектам с такой же защитой, а также позволяет вмешаться в рабочие процессы с участием уязвимых ПЛК.

Согласно бюллетеню Siemens, новая проблема актуальна для следующих продуктов:

SIMATIC Drive Controller (все версии прошивки ниже 2.9.2);
SIMATIC ET 200SP Open Controller CPU 1515SP PC2, в том числе SIPLUS-варианты (все прошивки ниже 21.9);
SIMATIC ET 200SP Open Controller CPU 1515SP PC, включая SIPLUS (исправлений скорее всего не будет);
SIMATIC S7-1200 CPU, включая SIPLUS (прошивки ниже 4.5.0);
SIMATIC S7-1500 CPU, ET200 CPU и SIPLUS (прошивки ниже 2.9.2);
SIMATIC S7-1500 Software Controller (прошивки ниже 21.9);
SIMATIC S7-PLCSIM Advanced (прошивки ниже 4.0).

Чтобы устранить уязвимость, производитель сменил подход к защите конфигурационных данных — отныне доступ к ней на каждом устройстве будет осуществляться по паролю, заданному пользователем. Для защиты коммуникаций между ПЛК, HMI и инженерными станциями введена дефолтная TLS-защита.

Пользователям рекомендуется обновить не только прошивки, но и соответствующий проект TIA Portal (все нововведения включены в версию 17 программного продукта, предназначенного для проектирования компонентов автоматизации SIMATIC). В качестве временной меры Siemens советует использовать для коммуникаций PG/PC и HMI только доверенное сетевое окружение, а также усилить защиту проекта TIA Portal и CPU (с картами памяти) от несанкционированного доступа.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Июня 2025 - 15:16

Android Интернет вещей Ботнет Домашние пользователи

Новая версия Mirai атакует видеорегистраторы в России и за рубежом

Эксперты по информационной безопасности зафиксировали всплеск атак с использованием новой версии ботнета Mirai. На этот раз под удар попали цифровые видеорегистраторы (DVR), причём больше всего атак — в России, Китае, Египте, Индии, Бразилии и Турции.

Судя по всему, в зоне риска остаются десятки тысяч уязвимых устройств по всему миру.

Что за Mirai и почему это опасно

Mirai (и его «наследники») — это один из самых известных и устойчивых ботнетов, ориентированных на устройства интернета вещей. Он активно распространяется за счёт слабых паролей и уязвимостей в прошивках: как только злоумышленник находит дыру в безопасности, он превращает устройство в часть своей сети. Дальше — по накатанной: DDoS, шпионаж, сбор данных.

Что делает новая версия

Анализ сетевой активности показал, что в последних атаках Mirai использует уязвимость CVE-2024-3721. Основная цель — видеорегистраторы, которые используются повсеместно: от жилых домов и офисов до заводов, вокзалов и школ. Через такие устройства можно не только получить доступ к видеопотокам, но и использовать их для дальнейших атак.

Особенность этой версии Mirai — она умеет распознавать, если её запускают в песочнице или на виртуальной машине, где ИБ-специалисты обычно изучают вредонос. В таких случаях ботнет затаивается, что сильно усложняет его обнаружение.

Почему это важно

Mirai продолжает активно развиваться, несмотря на то что его исходный код утёк в сеть почти десять лет назад. С тех пор множество группировок используют его основу, добавляя собственные фишки. По открытым данным, в интернете по-прежнему можно найти более 50 тысяч уязвимых видеорегистраторов — и это только те, что «светятся» в сети.

Что можно сделать

Чтобы не стать частью ботнета, специалисты «Лаборатории Касперского» рекомендуют выполнить несколько простых, но важных шагов:

Сменить заводские логины и пароли на надёжные;
Обновить прошивку устройства — особенно если оно старое;
Отключить удалённый доступ, если он не нужен;
Выделить IoT-устройства в отдельную сеть, чтобы изолировать их от остальной инфраструктуры;
Следить за сетевым трафиком и обращать внимание на необычную активность.

Mirai, как видно, не собирается уходить на покой. И если устройство подключено к интернету — оно уже потенциальная цель.