Siemens o’zining bir nechta sanoat mahsulotlaridagi xavfli DoS zaifliklarini tuzatdi.
Kompaniya SIMATIC, SINEC-NMS, SINEMA, SINUMERIK va TeleControl mahsulotlarida o’ndan ortiq zaifliklar haqida ogohlantirdi.
Aprel oyida rejalashtirilgan yangilanishlarni amalga oshirish doirasida Siemens o’zining bir nechta sanoat yechimlari, jumladan, SIMATIC, SINEC-NMS, SINEMA, SINUMERIK va TeleControl’dagi jami 11 ta zaiflikni tavsiflovchi o’ndan ortiq ogohlantirishlarni e’lon qildi. Ishlab chiqaruvchi yuqorida aytib o’tilgan mahsulotlardagi xavfli DoS (xizmat ko’rsatishdan bosh tortish) zaifliklari uchun yamoqlarni chiqarishni boshladi. Shuni ta’kidlash kerakki, sanoat muhitida uskunalarning ishdan chiqishiga olib kelishi mumkin bo’lgan muammolar boshqa xatolarga qaraganda ko’proq xavf tug’diradi.
CVE-2019-6575 ma’lum mahsulotlarda joriy etilgan OPC-UA serveriga ta’sir qiladi va autentifikatsiya qilinmagan masofaviy hujumchiga maxsus tayyorlangan paketlarni 4840 TCP portiga yuborish orqali qurilmada xizmat ko’rsatishni rad etishga imkon beradi.
Yana bir DoS zaifligi (CVE-2019-6568) CP, SIMATIC, SINAMICS, SITOP va TIM kabi ko’plab yechimlarda ishlatiladigan veb-serverda mavjud. Ushbu zaiflikdan foydalanish autentifikatsiya yoki foydalanuvchi bilan o’zaro aloqani talab qilmaydi, lekin tarmoqqa kirishni talab qiladi.
Past kuchlanishli o’zgaruvchan tok elektr motorlari uchun SIMOCODE pro V EIP modulli boshqaruv va himoya tizimi, shuningdek, maxsus tayyorlangan paketlarni UDP portiga 161 yuborish orqali foydalanish mumkin bo’lgan DoS zaifligiga (CVE-2017-12741) zaifdir.
RUGGEDCOM ROX II marshrutizatorlarida Quagga BGP demoni bilan bog’liq bir qator zaifliklar aniqlangan, bu esa tajovuzkorga kodni bajarish va boshqa amallarni bajarish imkonini beradi. Ta’kidlanishicha, aksariyat hollarda ushbu zaifliklardan foydalanish tajovuzkordan ishonchli BGP tengdoshi (server) pozitsiyasida bo’lishini talab qiladi.
SINEMA Remote Connect xavfsiz tarmoqqa kirish dasturi kodni bajarish va xizmatni rad etish imkonini beruvchi bir nechta zaifliklarni o’z ichiga oladi. Va nihoyat, Spectrum Power energiya boshqaruv yechimi buyruq kiritish zaifligini o’z ichiga oladi. Ushbu zaiflikdan foydalanish autentifikatsiyani talab qilmaydi, lekin veb-serverga 80 yoki 443 TCP porti orqali kirishni talab qiladi.
Yuqorida tavsiflangan zaifliklardan foydalangan holda hujumlar haqida hozircha ma’lum holatlar mavjud emas.
