Falha em RTU da Siemens pode permitir hack em redes elétricas

Da Redação
07/05/2023

Uma vulnerabilidade crítica que afeta alguns dos sistemas de controle industrial (ICS) da Siemens projetados para o setor de energia pode permitir que hackers desestabilizem uma rede elétrica, de acordo com pesquisadores que encontraram a falha de segurança.

A vulnerabilidade, rastreada como CVE-2023-28489, afeta o firmware CPCI85 dos produtos Sicam A8000 CP-8031 e CP-8050 e pode ser explorada por um invasor para execução remota de código (RCE). Esses produtos são unidades terminais remotas (RTUs, na sigla em inglês) projetadas para telecontrole e automação no setor de fornecimento de energia, principalmente para subestações.

Os patches estão disponíveis nas versões de firmware CPCI85 V05 ou posterior, e a gigante industrial alemã também observou que o risco de exploração pode ser reduzido limitando o acesso ao servidor web nas portas TCP 80 e 443 usando um firewall.

Em um comunicado publicado no dia 11 de abril, a Siemens disse que soube da falha por meio de uma equipe de pesquisadores da consultoria de segurança cibernética SEC Consult, que agora faz parte da Eviden, uma empresa da Atos.

Johannes Greil, chefe do SEC Consult Vulnerability Lab, disse à SecurityWeek que um invasor, ao explorar o CVE-2023-28489, pode assumir o controle total de um dispositivo e potencialmente desestabilizar uma rede elétrica e possivelmente até causar apagões alterando parâmetros críticos de automação. Os operadores de ameaças também podem aproveitar a vulnerabilidade para implementar backdoors.

No entanto, o especialista observou que, uma vez que esses dispositivos são usados principalmente em ambientes de infraestrutura crítica, eles geralmente são “fortemente protegidos por firewall” e não podem ser acessados diretamente da internet. “Não se pode descartar, porém, que alguns dispositivos possam ser acessados por meio de conexões de acesso de suporte de terceiros ou possíveis erros de configuração”, explicou Greil.

Veja isso
Grupo usa bug em servidor web para violar empresas de energia
Energia: ataques comprometerão vidas, propriedades, ambiente

A exploração do CVE-2023-28489 pode permitir que um invasor que tenha acesso à rede ao dispositivo de destino obtenha acesso root completo sem qualquer autenticação prévia. A exploração da falha envolve o envio de uma solicitação HTTP especialmente criada para a RTU de destino.

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA também publicou um comunicado em abril para informar as organizações sobre a vulnerabilidade.

Greil destacou que os produtos Siemens Sicam estão entre os primeiros dispositivos do mundo a receber a certificação “nível de maturidade 4” na categoria Industrial Cyber Security. Esta certificação, IEC62443-4-1, indica que a segurança foi um fator importante ao longo do processo de design e desenvolvimento e que o produto passou por testes rigorosos.

Atualmente, a SEC Consult não está divulgando nenhum detalhe técnico para impedir que hackers façam uso indevido das informações.

Compartilhar: