Claroty’s Team 82 araştırmacıları, CVSS puanı 9,3 olan ciddi CVE-2022-38465 güvenlik açığını bulduklarını söylediler. Sorun, mühendislik istasyonları, PLC’ler ve diğer cihazlar arasında bağlantı sağlayan TIA Portal’ın yanı sıra işletme tarafından yapılan SIMATIC S7-1200 ve S7-1500 PLC’leri etkiliyor. Bu kusur, bilgisayar korsanlarının Siemens ürünlerinde bulunan ve “Siemens SIMATIC ekipmanına ve bağlantılı TIA Portalına karşı birkaç karmaşık saldırı gerçekleştirmek ve erişim düzeyinin dördünden de kaçmak için” kullanabilecekleri “ağır şekilde güvenli, sabit kodlanmış, küresel özel şifreleme anahtarları” elde etmelerini sağlıyor. savunmalar.”
Claroty’ye göre, düşmanca bir aktör bu saldırıyla SIMATIC S7-1200/1500 ürün serisine “geri dönüşü olmayan bir şekilde” zarar verebilir.
Siemens, üretim ve diğer endüstrilerde yaygın olarak kullanılan endüstriyel bilgisayarlar olan en iyi bilinen PLC’lerinden veya programlanabilir mantık denetleyicilerinden biri için güncellemeler yayınladı.
Araştırmacılar, bu saldırılar yoluyla elde edilen verilerin bilgisayar korsanları tarafından daha fazla istismar aracı oluşturmak için kullanılabileceğini ve bunun da ek saldırılara ve veri hırsızlığına yol açabileceğini belirtti.
Sistem yaklaşık on yıl önce oluşturuldu ve Siemens, cihazların “yerleşik küresel özel anahtarı artık yeterli görülemeyecek şekilde güvence altına aldığını” belirterek sorunla ilgili kendi tavsiyesini yayınladı. İşletme, hassas yapılandırma verilerini korumak için anahtarın gerekli olduğunu belirtti. “Tasarım oluşturulduğunda, endüstriyel kontrol sistemleri dinamik anahtar yönetimi ve anahtar dağıtımı için çözümlerden yoksundu. İşletme, entegratörler ve müşteriler için anahtar yönetim çözümlerinin gereğinden fazla operasyonel çalışmaya ihtiyaç duyduğunu iddia etti.
Soruna maruz kalmayı azaltmak için Siemens, müşterilere sistemlerini yükseltmelerini tavsiye etti ve alternatif çözümler sağladı.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.