Исследователи компании Nozomi недавно проанализировали PXC4.E16 компании Siemens – программируемую систему автоматизации зданий (BAS) семейства Desigo, предназначенную для систем отопления, вентиляции и кондиционирования воздуха и предприятий по обслуживанию зданий и обнаружили, что ABT-инструмент для инжиниринга и ввода в эксплуатацию устройств Siemens уязвим для DoS-атак.
Уязвимость не критическая, но эксперты по кибербезопасности часто предупреждают, что в промышленных средах DoS-атака может иметь серьезные последствия.
Уязвимость CVE-2022-24040 , связана с использованием функции деривации ключа PBKDF2 для защиты паролей пользователей. Вредоносный инсайдер или злоумышленник, имеющий доступ к профилю пользователя в ABT-инструменте, при попытке входа в аккаунт может вызвать состояние отказа в обслуживании у всей системы.
"Веб-приложение не ограничивает длину ключа PBKDF2 во время создания учетной записи или обновления ее настроек", – поясняет Siemens в своем сообщении. "Злоумышленник с привилегией доступа к профилю пользователя может вызвать состояние отказа в обслуживании, перегрузив процессор слишком длинным ключом PBKDF2, а затем попытавшись войти в учетную запись".
Тесты, проведенные Nozomi, показали, что в худшем случае злоумышленник может вывести устройство из строя на несколько дней, просто попытавшись войти в систему, а потом повторить попытку входа, чтобы продлить время простоя контроллера.
"Также возможно, что злоумышленники могут атаковать BAS, одновременно осуществляя разрушительную атаку на другие промышленные системы управления (ICS) на объекте. Если система пожарной сигнализации или другие системы подвергаются DDoS-атаке, это может усилить киберфизическую атаку", – предупредили специалисты Nozomi.
На этой неделе компания Siemens исправила CVE-2022-24040, а также шесть других уязвимостей, затрагивающих устройства Desigo PXC и DXR.