Исследователи компании Nozomi Networks, занимающиеся вопросами IoT- и OT-безопасности, заявили, что контроллеры автоматизации зданий производства Siemens подвержены DoS-уязвимости, которая при эксплуатации может нарушить работу устройств на длительное время.
Контроллер Siemens PXC4.E16 представляет собой программируемую систему автоматизации зданий (BAS) из семейства Desigo, предназначенную для HVAC и инженерных сетей зданий. В самом устройстве и предназначенном для него инструменте ABT Site Engineering and Commissioning Tool нашли уязвимости, которые можно использовать для атак типа «отказ в обслуживании» (DoS). В промышленных средах такая атака может повлечь серьёзные последствия.
Уязвимость CVE-2022-24040 связана с функцией получения ключа PBKDF2 для защиты паролей пользователей. Инсайдер или злоумышленник, у которого есть привилегии для доступа к профилям пользователей, может создать новую или изменить существующую учетную запись, а затем спровоцировать DoS простой попыткой войти в эту учётную запись.
Тесты Nozomi показали, что такая попытка входа может «сделать устройство недоступным на несколько дней». Затем хакер может повторить весь процесс, чтобы увеличить время простоя контроллера.
«Злоумышленники могут атаковать BAS одновременно с масштабной атакой на другие системы АСУ ТП. Если система пожарной сигнализации или другие системы подвергаются DDoS-атаке, это может усилить такую киберфизическую атаку», — отмечают эксперты.
На днях Siemens уже исправила уязвимость CVE-2022-24040 вместе с шестью другими, затрагивающими ее устройства Desigo PXC и DXR.
В начале марта Siemens остановила продажи своей продукции и разработок российским компаниям, находящимся под американскими санкциям. 12 мая Siemens объявила о полном прекращении бизнеса в России. Компания присутствовала в стране с 1852 года.