据报道,攻击者利用西门子Simatic可编程逻辑控制器(PLC)中的漏洞(CVE-2022-38465,CVSS评分9.3),可窃取全局私有加密密钥,获得对设备的控制权。目前,西门子已在2022年10月11日发布的安全更新中对其进行了处理。
工业网络安全公司Claroty在一份新报告表示,攻击者可以使用这些密钥对西门子SIMATIC设备和相关的TIA Portal进行多次高级攻击,同时绕过其所有四个访问级别保护。此外,黑客可能会利用这些机密信息,以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。
受影响的产品和版本列表如下:SIMATIC 驱动控制器系列(2.9.2之前的所有版本) SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2,包括 SIPLUS 变体(21.9 之前的所有版本) SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体(所有版本) SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体(4.5.0 之前的所有版本) SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体(V2.9.2 之前的所有版本) SIMATIC S7-1500 软件控制器(21.9 之前的所有版本) SIMATIC S7-PLCSIM 高级版(4.0 之前的所有版本) Claroty表示,通过利用西门子PLC中之前披露的漏洞(CVE-2020-15782)来获得对控制器的读写权限,从而恢复私钥。这样做可以让攻击者绕过访问控制并覆盖本机代码,还可以完全控制每个受影响的西门子产品线的PLC。 CVE-2022-38465反映了去年在罗克韦尔自动化PLC(CVE-2021-22681)中发现的另一个严重漏洞,该漏洞可能使对手能够远程连接到控制器,并上传恶意代码,从PLC下载信息或安装新固件。 Claroty在2021年2月指出:“该漏洞在于Studio 5000 Logix Designer软件可能允许发现秘密加密密钥“。
安全建议
西门子建议:客户仅在受信任的网络环境中使用传统PG/PC和HMI通信,并安全访问TIA Portal和CPU,以防止未经授权的连接。此外,西门子还采取措施,使用TIA Portal版本17中的传输层安全性(TLS)对工程站、PLC和HMI面板之间的通信进行加密,同时警告“黑客滥用全球私钥的可能性越来越大”。 在工业网络使用的软件中,漏洞的存在会让攻击者有机可乘。SINEC网络管理系统(NMS)中的漏洞,可能会被攻击者滥用以获得远程代码执行功能。因此,提升网络安全意识,在安全的网络环境中使用传统PG/PC和HMI通信非常重要。
|