НАЗАД К НОВОСТЯМ
CERT рекомендации

Уязвимость Siemens SIMATIC и SIPLUS: DoS-атака через уязвимость протокола S7 (ICSA-26-015-04)

2 мин чтенияИсточник: CISA Cybersecurity Advisories

Критическая уязвимость в продуктах Siemens SIMATIC ET 200SP и SIPLUS позволяет злоумышленникам вызывать отказ в обслуживании (DoS) через протокол S7. Требуется срочное обновление.

Уязвимость Siemens ET 200SP: критическая DoS-угроза через протокол S7

Агентство по кибербезопасности и защите инфраструктуры США (CISA) раскрыло уязвимость типа «отказ в обслуживании» (DoS) в продуктах Siemens SIMATIC ET 200SP и SIPLUS, зарегистрированную под идентификатором ICSA-26-015-04. Уязвимость позволяет злоумышленникам выводить устройства из строя, отправляя специально сформированный запрос на отключение по протоколу S7 (COTP DR TPDU). Для восстановления работоспособности устройств требуется ручной перезапуск питания.

Технические детали

Уязвимость связана с некорректной обработкой запросов на отключение транспортного протокола с установлением соединения (COTP Disconnect Request TPDU) в рамках протокола S7 — широко используемого стандарта промышленной связи. Злоумышленник, имеющий сетевой доступ к целевому устройству, может эксплуатировать эту уязвимость, отправив корректный, но вредоносный запрос на отключение, что приведет к неработоспособности устройства. Для эксплуатации не требуется аутентификация.

Компания Siemens выпустила обновленные версии прошивок для устранения уязвимости. Пользователям настоятельно рекомендуется незамедлительно установить эти обновления. Подробные технические спецификации и информацию о патчах можно найти в консультативном бюллетене CSAF.

Анализ последствий

  • Нарушение работоспособности: Успешная эксплуатация уязвимости может привести к незапланированным простоям в промышленных средах, особенно в секторах, где используются устройства Siemens ET 200SP для управления технологическими процессами.
  • Физические риски: В критической инфраструктуре (например, в производстве или энергетике) неработоспособность устройств может вызвать угрозы безопасности или остановку производства.
  • Вероятность эксплуатации: Хотя активных атак пока не зафиксировано, низкая сложность атаки повышает риск целенаправленных или случайных атак.

Рекомендации для служб безопасности

  1. Немедленно установите патчи Siemens: Обновите прошивки на всех уязвимых устройствах SIMATIC ET 200SP и SIPLUS до последних версий. Руководствуйтесь официальными рекомендациями Siemens по конкретным версиям.
  2. Сегментация сети: Изолируйте сети операционных технологий (OT) от IT-сред для ограничения доступа потенциальных злоумышленников.
  3. Мониторинг трафика протокола S7: Разверните системы обнаружения/предотвращения вторжений (IDS/IPS) для выявления аномальных запросов на отключение.
  4. Планирование реагирования на инциденты: Убедитесь, что процедуры восстановления включают протоколы ручного перезапуска питания для уязвимых устройств.
  5. Изучите бюллетень CISA: Следите за обновлениями в оригинальном бюллетене CISA для получения дополнительных рекомендаций по защите.

Командам, отвечающим за безопасность промышленных систем управления (ICS), следует уделить приоритетное внимание установке этого патча, учитывая высокий уровень угрозы и низкий порог эксплуатации уязвимости.

Поделиться

TwitterLinkedIn