Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

12 января 2017 г.

Siemens исправила недостаточную энтропию в ICS-системах

Siemens выпустила обновление прошивки, устраняющее уязвимость в популярных контроллерах линейки Desigo PX, которые используются, в частности, для автоматизированного управления теплохладотехникой в зданиях промышленного назначения.

В минувшую среду вышел соответствующий информационный бюллетень ICS-CERT, посвященный так называемой уязвимости недостаточной энтропии (insufficient entropy), допускающей в данном случае удаленный эксплойт. «В случае успеха эксплуатация этой уязвимости позволит атакующему получить закрытые ключи, используемые интегрированным сервером для HTTPS-связи», – предупреждают эксперты.

Список затронутых веб-модулей включает PXA40-W0, PXA40-W1 и PXA40-W2 для Desigo-контроллеров PXC00-E.D, PXC50-E.D, PXC100-E.D, и PXC200-E.D, а также модулей PXA30-W0, PXA30-W1 и PXA30-W2 в устройствах моделей PXC00-U, PXC64-U и PXC128-U. Уязвимости подвержены все версии прошивки ниже V6.00.046.

Брешь, которой присвоен идентификатор CVE-2016-9154, открывает возможность для угона веб-сессий без дополнительной аутентификации. «Уязвимые устройства используют генератор псевдослучайных чисел, который создает сертификаты для HTTPS с недостаточной степенью непредсказуемости, что потенциально позволяет удаленному злоумышленнику воссоздать соответствующий приватный ключ», – так характеризуют Siemens и ICS-CERT эту брешь.

Согласно OWASP, причиной таких уязвимостей является недостаток энтропии в результатах ГПСЧ. «Генераторы псевдослучайных чисел обычно страдают от недостаточной энтропии при запуске, так как данные энтропии в этот момент могут быть еще не доступны», – поясняет OWASP.

Обновление прошивки V6.00.046 от Siemens устранит эту уязвимость в модулях Desigo PX. Данных об активной эксплуатации нет, и разработчик убежден, что использовать CVE-2016-9154 на практике будет трудно.

Информационный бюллетень ICS-CERT был составлен при участии Siemens и группы исследователей из университета штата Пенсильвания.


Источник: Threatpost | Новости ИБ