Идентификатор: BDU:2022-07424.
Наименование уязвимости: Уязвимость программного обеспечения продуктов Siemens SIMATIC и SINAMICS, позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость программного обеспечения продуктов Siemens SIMATIC и SINAMICS вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Уязвимое ПО: ПО программно-аппаратного средства АСУ ТП Siemens AG SINAMICS GH150 до V16 Update 4 | ПО программно-аппаратного средства АСУ ТП Siemens AG SINAMICS GL150 до V16 Update 4 | ПО программно-аппаратного средства АСУ ТП Siemens AG SINAMICS GM150 до V16 Update 4 | ПО программно-аппаратного средства АСУ ТП Siemens AG SINAMICS SH150 до V16 Update 4 | ПО программно-аппаратного средства АСУ ТП Siemens AG SINAMICS SL150 до V15 SP1 Update 6 | ПО программно-аппаратного средства АСУ ТП Siemens AG SINAMICS SM120 до V16 Update 4 | ПО программно-аппаратного средства АСУ ТП Siemens AG SINAMICS SM150 до V15 SP1 Update 6 | ПО программно-аппаратного средства АСУ ТП Siemens AG SINAMICS SM150i до V15 SP1 Update 6 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC HMI KTP Mobile Panels V15 KTP400F до V15.1 Update 6 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC HMI KTP Mobile Panels V15 KTP700, до V15.1 Update 6 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC HMI KTP Mobile Panels V15 KTP700F до V15.1 Update 6 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC HMI KTP Mobile Panels V15 KTP900 до V15.1 Update 6 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC HMI KTP Mobile Panels V15 KTP900F до V15.1 Update 6 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC HMI KTP Mobile Panels V16 KTP400F до V16 Update 4 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC HMI KTP Mobile Panels V16 KTP700 до V16 Update 4 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC HMI KTP Mobile Panels V16 KTP700F до V16 Update 4 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC HMI KTP Mobile Panels V16 KTP900 до V16 Update 4 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC HMI KTP Mobile Panels V16 KTP900F до V16 Update 4 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC WinCC Runtime Advanced до V15.1 Update 6 | ПО программно-аппаратного средства АСУ ТП Siemens AG SIMATIC WinCC Runtime Advanced до V16 Update 4 | Программное средство АСУ ТП Siemens AG SIMATIC HMI Comfort Outdoor Panels 7″ and 15″ до V15.1 Update 6 | Программное средство АСУ ТП Siemens AG SIMATIC HMI Comfort Outdoor Panels 7″ and 15″ до V16 Update 4 | Программное средство АСУ ТП Siemens AG SIMATIC HMI Comfort 4 -22″ Panels до V15.1 Update 6 | Программное средство АСУ ТП Siemens AG SIMATIC HMI Comfort 4 -22″ Panels до V16 Update 4 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 11.05.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
– ограничение доступа к TCP-порту 5900;
– ограничение доступа к оборудованию из общедоступных сетей (Интернет);
– использование средств межсетевого экранирования;
– сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;
– использование VPN для организации удаленного доступа.
Использование рекомендаций:
https://cert-portal.siemens.com/productcert/pdf/ssa-286838.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-538778.pdf.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-27384.
Тип ошибки CWE: CWE-788
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://cert-portal.siemens.com/productcert/pdf/ssa-286838.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-538778.pdf
https://www.cisa.gov/uscert/ics/advisories/icsa-21-131-12
