23. 07. 2014

Charakteristika zranitelnosti (SSA-234763)

Společnost Siemens identifikovala čtyři zranitelnosti ve vlastní implementaci OpenSSL. Zranitelná implementace je využívána v některých automatizačních produktech. Siemens zveřejnil doporučení pro minimalizaci rizik, současně pokračuje v práci na záplatách pro další systémy.

V současné době jsou dostupné updaty pro APE verze 2.0.2 a WinCC OA (PVSS). Pro systémy ROX 1, ROX 2, S7-1500 a CP1453-1 neexistují záplaty.

Postižené systémy

  • APE do verze 2.0.2 (napadnutelné jen pokud je použita SSL/TLS komponenta nebo je nainstalován Ruggedcom CrossBow),
  • CP1543-1: všechny verze,
  • ROX 1: všechny verze (jen pokud je nainstalován Ruggedcom CrossBow),
  • ROX 2: všechny verze (jen pokud je nainstalován eLAN nebo Ruggedcom CrossBow),
  • S7-1500: všechny verze,
  • WinCC OA (PVSS): verze 3.8 – 3.12

Dopad zranitelnosti

Uvedené zranitelnosti mohou postihnout dostupnost, integritu a autenticitu systémů. Jedna ze zranitelností může dovolit útočníkovi provést man-in-the-middle útok, útočník může unést spojení mezi autorizovaným uživatelem a zařízením. Ostatní zranitelnosti mohou způsobit pád/nedostupnost webového serveru zasaženého zařízení.

Řešení

Použít záplaty, které jsou dostupné pro systémy APE 2.0.2 a WinCC OA (PVSS) 3.12-P009

Pro systémy, u kterých není v současné době záplata dostupná, doporučuje výrobce pro zmírnění dopadu následující kroky:

  • ROX 1
    • Používat zařízení jen v důvěryhodných sítích
  • ROX 2
    • Aktualizovat OpenSSL pokud je eLAN nainstalován na APE nebo
    • Aktualizovat systém standartní cestou pokud je eLAN nainstalován na Linuxu nebo
    • Používat jen v důvěryhodných sítích
  • S7-1500
    • Zakázat webový server nebo
    • Omezit přístup webového serveru jen do důvěryhodných sítí
  • CP1543-1
    • Pro služby FTPs a SMTP
      • Zakázat nebo
      • Použít VPN pro tunelování FTPs/SMTP nebo
    • Používat zařízení jen v důvěryhodných sítích

CVE

  • CVE-2014-3470
  • CVE-2014-0224
  • CVE-2014-0198
  • CVE-2010-5298

Odkazy

http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-234763.pdf
https://www.openssl.org/news/secadv_20140605.txt
http://ics-cert.us-cert.gov/advisories/ICSA-14-198-03