Siemens исправила опасную уязвимость во множестве своих продуктов

Back to Blog

Siemens исправила опасную уязвимость во множестве своих продуктов

Siemens исправила опасную уязвимость во множестве своих продуктов

Успешная эксплуатация уязвимости позволяет перехватить важные данные в незашифрованном виде.

Siemens исправила опасную уязвимость CVE-2017-3737, которая затрагивает множество продуктов компании, задействованных в автоматизации процессов на производстве. Уязвимость представляет собой проблему передачи данных в незашифрованном виде. В частности, в криптографическом пакете OpenSSL 1.0.2 был введен механизм «состояние ошибки», работающий некорректно, если функции SSL_read () или SSL_write () вызываются непосредственно приложением. Таким образом данные отправляются в виде простого текста с помощью протоколов SSL/TLS.

Для успешной эксплуатации злоумышленник должен вызвать сбой в алгоритме квитирования SSL/TLS. Для успешной атаки не требуется взаимодействие с пользователем или какие-либо привилегии.

Уязвимость затрагивает следующие продукты:

  • MindConnect IoT2040: Все версии до v03.01;

  • MindConnect Nano (IPC227D): Все версии до v03.01;

  • SIMATIC ET 200SP Open Controller CPU 1515SP PC (OC1): Все версии до v2.1;

  • SIMATIC HMI WinCC Flexible: Все версии;

  • SIMATIC IPC DiagBase: Все версии;

  • SIMATIC IPC DiagMonitor: Все версии;

  • SIMATIC S7-1200: Все версии;

  • SIMATIC S7-1500: Все версии до v2.5.2;

  • SIMATIC S7-1500 Software Controller: Все версии;

  • SIMATIC STEP 7 (TIA Portal): Все версии до v15 Update 2;

  • SIMATIC WinCC (TIA Portal): Все версии до v15 Update 2;

  • SIMATIC WinCC OA v3.14: Все версии;

  • SIMATIC WinCC OA v3.15: Все версии;

  • SIMATIC WinCC OA v3.16: Все версии.

Пользователям рекомендуется как можно скорее установить выпущенные производителем обновления.

Поделиться этим постом

Back to Blog