Siemens выпустила обновление прошивки, устраняющее уязвимость в популярных контроллерах линейки Desigo PX, которые используются, в частности, для автоматизированного управления теплохладотехникой в зданиях промышленного назначения.
В минувшую среду вышел соответствующий информационный бюллетень ICS-CERT, посвященный так называемой уязвимости недостаточной энтропии (insufficient entropy), допускающей в данном случае удаленный эксплойт. «В случае успеха эксплуатация этой уязвимости позволит атакующему получить закрытые ключи, используемые интегрированным сервером для HTTPS-связи», – предупреждают эксперты.
Список затронутых веб-модулей включает PXA40-W0, PXA40-W1 и PXA40-W2 для Desigo-контроллеров PXC00-E.D, PXC50-E.D, PXC100-E.D, и PXC200-E.D, а также модулей PXA30-W0, PXA30-W1 и PXA30-W2 в устройствах моделей PXC00-U, PXC64-U и PXC128-U. Уязвимости подвержены все версии прошивки ниже V6.00.046.
Брешь, которой присвоен идентификатор CVE-2016-9154, открывает возможность для угона веб-сессий без дополнительной аутентификации. «Уязвимые устройства используют генератор псевдослучайных чисел, который создает сертификаты для HTTPS с недостаточной степенью непредсказуемости, что потенциально позволяет удаленному злоумышленнику воссоздать соответствующий приватный ключ», – так характеризуют Siemens и ICS-CERT эту брешь.
Согласно OWASP, причиной таких уязвимостей является недостаток энтропии в результатах ГПСЧ. «Генераторы псевдослучайных чисел обычно страдают от недостаточной энтропии при запуске, так как данные энтропии в этот момент могут быть еще не доступны», – поясняет OWASP.
Обновление прошивки V6.00.046 от Siemens устранит эту уязвимость в модулях Desigo PX. Данных об активной эксплуатации нет, и разработчик убежден, что использовать CVE-2016-9154 на практике будет трудно.
Информационный бюллетень ICS-CERT был составлен при участии Siemens и группы исследователей из университета штата Пенсильвания.
Источник: Threatpost | Новости ИБ
