Уязвимости позволяют вызвать отказ в обслуживании и выполнить произвольные команды.
Компания Siemens исправила проблемы с безопасностью в своих продуктах SINAMICS и SCALANCE.
Продукты серии SINAMICS представляют собой частотные преобразователи, использующиеся на предприятиях критической инфраструктуры, в том числе в химической, электроэнергетической, транспортной и пищевой промышленности, а также в сфере здравоохранения и социальных служб.
Уязвимость неконтролируемого потребления ресурсов в SINAMICS позволяет злоумышленнику вызвать отказ в обслуживании. Проблема затрагивает web-сервер устройства и позволяет его перезагружать. Для осуществления атаки злоумышленник должен иметь доступ к уязвимому продукту через сеть. Наличие повышенных привилегий или участие пользователя не требуются.
Уязвимость получила идентификатор CVE-2019-6568 и оценку 7,5 из 10 по системе оценивания опасности уязвимостей CVSS v3. Проблема была исправлена в версии SINAMICS v4.8 SP2 HF9.
Управляемые коммутаторы SCALANCE используются на предприятиях химической, электроэнергетической и пищевой промышленности, а также в системах очистки воды.
CVE-2019-10927: Позволяет авторизованному атакующему с доступом к порту 22/TCP на уязвимом устройстве вызвать отказ в обслуживании. Для осуществления атаки участие со стороны пользователя не требуется. По системе оценивания опасности уязвимостей CVSS v3 проблема получила оценку 6,5 из 10.
CVE-2019-10928: Позволяет авторизованному злоумышленнику с доступом к порту 22/TCP и физическим доступом к устройству выполнять произвольные команды. По системе оценивания опасности уязвимостей CVSS v3 проблема получила оценку 6,6 из 10.
В настоящее время Siemens выпустила обновление только для SCALANCE SC-600 (версия 2.0.1). В качестве меры предосторожности компания рекомендует пользователям отключить порт 22/TCP, ограничить физический доступ к уязвимым устройствам и использовать встроенный межсетевой экран в SCALANCE SC-600.
Ранее Siemens также исправила уязвимость в управляемых коммутаторах Siemens SCALANCE X.