Критическая уязвимость в ПЛК Siemens SIMATIC позволяет украсть мастер-ключ

Татьяна Никитина 12 Октября 2022 - 18:37

...

Критическая уязвимость в ПЛК Siemens SIMATIC позволяет украсть мастер-ключ

Исследователи из Claroty обнаружили, что общий криптоключ, встроенный в контроллеры Siemens SIMATIC, можно извлечь и использовать для захвата контроля над любым ПЛК семейства или проведения атаки «человек посередине» (MitM) с целью подмены данных, которыми ПЛК обмениваются с панелью оператора (HMI) и рабочими станциями инженера.

Новая угроза, получившая идентификатор CVE-2022-38465 (9,3 балла CVSS), была выявлена в ходе очередного аудита продуктов Siemens SIMATIC. Аналитики характеризуют ее как неадекватную защиту закрытого ключа, который используется для шифрования конфиденциальных данных конфигурации (паролей на доступ, криптоключей для защиты каналов связи), а также коммуникаций между устройствами программирования и HMI.

Как оказалось, встроенный в ПЛК SIMATIC приватный ключ не хранится в файлах прошивки, его можно отыскать только прямым доступом к памяти. С этой целью эксперты применили эксплойт CVE-2020-15782, позволяющий выйти из песочницы и выполнить произвольный код в системе.

Поскольку контроллеры SIMATIC используют один и тот же приватный ключ, подобная атака на одного представителя семейства открывает доступ ко всем проектам с такой же защитой, а также позволяет вмешаться в рабочие процессы с участием уязвимых ПЛК.

Согласно бюллетеню Siemens, новая проблема актуальна для следующих продуктов:

SIMATIC Drive Controller (все версии прошивки ниже 2.9.2);
SIMATIC ET 200SP Open Controller CPU 1515SP PC2, в том числе SIPLUS-варианты (все прошивки ниже 21.9);
SIMATIC ET 200SP Open Controller CPU 1515SP PC, включая SIPLUS (исправлений скорее всего не будет);
SIMATIC S7-1200 CPU, включая SIPLUS (прошивки ниже 4.5.0);
SIMATIC S7-1500 CPU, ET200 CPU и SIPLUS (прошивки ниже 2.9.2);
SIMATIC S7-1500 Software Controller (прошивки ниже 21.9);
SIMATIC S7-PLCSIM Advanced (прошивки ниже 4.0).

Чтобы устранить уязвимость, производитель сменил подход к защите конфигурационных данных — отныне доступ к ней на каждом устройстве будет осуществляться по паролю, заданному пользователем. Для защиты коммуникаций между ПЛК, HMI и инженерными станциями введена дефолтная TLS-защита.

Пользователям рекомендуется обновить не только прошивки, но и соответствующий проект TIA Portal (все нововведения включены в версию 17 программного продукта, предназначенного для проектирования компонентов автоматизации SIMATIC). В качестве временной меры Siemens советует использовать для коммуникаций PG/PC и HMI только доверенное сетевое окружение, а также усилить защиту проекта TIA Portal и CPU (с картами памяти) от несанкционированного доступа.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 18:23

Windows Staffcop Enterprise Корпорации Системы защиты от утечек конфиденциальной информации (DLP)

Staffcop добавил файловый сканер и перехват данных в MAX на Windows

В Staffcop (входит в экосистему «Контур») вышло обновление, которое добавляет больше инструментов для расследования инцидентов и профилактики утечек. Самое важное нововведение — файловый сканер для инвентаризации данных и перехват переписки в MAX на Windows.

Новый файловый сканер собирает информацию о файлах на рабочих станциях и в хранилищах, анализирует их содержимое и передаёт результаты на сервер.

Данные автоматически раскладываются по категориям, после чего с ними проще работать: настраивать доступы, политики, назначать метки. Для ИБ-специалистов добавили удобные фильтры и поиск — это упрощает разбор результатов и помогает быстрее находить чувствительные данные и потенциальные риски.

Кроме того, Staffcop теперь учитывает метки, которые проставляет «Спектр.Маркер», и использует их в метаданных файлов. Это позволяет точнее применять политики и ускоряет расследование инцидентов: информация из двух систем анализируется автоматически.

В части контроля коммуникаций добавлен перехват переписки в мессенджере MAX на Windows, а также WebWhatsApp на Linux. Это даёт возможность анализировать сообщения, фиксировать нарушения и выявлять признаки передачи защищаемой информации через несанкционированные каналы.

Разработчики также переработали обработку данных: ускорили извлечение текста и выделение слов-триггеров. Новый механизм спуллера распределяет нагрузку при приёме данных от агентов, что снижает риск просадок производительности и ошибок при работе с большими объёмами информации.

Появился обновлённый драйвер контроля клавиатуры — он позволяет надёжнее фиксировать ввод паролей при входе в систему. Это расширяет возможности контроля рабочих станций и помогает выявлять слабые пароли, несанкционированные учётные записи и попытки доступа.

Обновили и утилиту удалённой установки агентов: теперь можно гибче задавать правила установки и исключения, что особенно актуально для сложной инфраструктуры. Добавлена поддержка Rutoken на Windows для контроля использования токенов, а в интерфейсе появилась информация о сроке окончания технической поддержки сервера — чтобы администраторам было проще планировать обновления и продление поддержки.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »