Хакеры имеют возможность вывода из строя автоматических систем зданий Siemens

сегодня 22:15

На прошлой неделе исследователи Nozomi проанализировали PXC4.E16 компании Siemens — программируемую систему автоматизации зданий (BAS) семейства Desigo, предназначенную для систем отопления и вентиляции, предприятий по обслуживанию зданий в соответствии с требованиями безопасности. ABC-инструмент для разработки и запуска устройств Siemens уязвим к DoS-атакам.

Проблема не критическая и эксперты по кибербезопасности часто говорят, что DoS-атака может иметь серьезные последствия в промышленных средах.
Разрушимость CVE-2022-24041 обусловлена использованием функции деривации ключевого слова PBKDF2 для защиты пароля пользователей. При попытке входа в аккаунт злоумышленник или злоумышленник, имеющий доступ к профилю пользователя в ABT-инструменте может вызвать состояние отказа обслуживания у всей системы.

Как пояснил Siemens в своем сообщении, «Веб-приложение не ограничивает длину ключа PBKDF2 во время создания учетной записи или обновления настроек». Вооруженный преступник, обладающий правом доступа к учетной записи пользователя, может спровоцировать отказ в обслуживании. Он перегрузил процессор слишком большим ключом PBKDF2 и попытался войти в учетную запись.

При проведении тестов Nozomi было установлено, что в худшем случае злоумышленник может вывести устройство из строя на несколько дней просто пытаясь войти в систему, а затем повторить попытку входа для продления времени простоя контроллера.

Неизвестные могут атаковать BAS, одновременно нанося разрушительные удары по другим промышленным системам управления (ICS) объекта». По мнению специалистов Nozomi, если система пожарной сигнализации или другие системы подвергаются DDoS-атаке и могут усилить киберфизическую атаку.
Сегодня компания Siemens исправила CVE-2022-24030, а также шесть других уязвимостей в устройстве Desigo PXC.

Хакеры имеют возможность вывода из строя автоматических систем зданий Siemens

Добавить комментарий

Ваш адрес email не будет опубликован.