Siemens corrige falha de alto risco em automação predial

Problema descoberto pela Nozomi Networks permite ataques de negação de serviço
Da Redação
16/05/2022

Uma vulnerabilidade que pode ser explorada para ataques de negação de serviço (DoS) foi descoberta por pesquisadores da Nozomi Networks no controlador PXC4.E16 da Siemens, um sistema programável da família Desigo, projetado para controle de ar condicionado e automação predial. As provas de conceito realizadas pela Nozomi mostraram que um invasor poderia “tornar o dispositivo indisponível por dias apenas tentando um login” (o que resultaria em negação de serviço) e poderia repetir o processo para prolongar ainda mais o tempo de inatividade do controlador. A vulnerabilidade foi registrada como CVE-2022-24039 e tem um grau de risco CVSS v3.1de 9.0.

Veja isso
Pesquisadores tornam público bug de IoT não corrigido
Industroyer2 traz risco imediato para o setor elétrico

A descrição dela é a seguinte: “A função JavaScript ‘addCell’ falha em higienizar adequadamente a entrada controlável pelo usuário antes de incluí-la no corpo XML gerado do documento de relatório XLS, de modo que é possível injetar conteúdo arbitrário (por exemplo, tags XML) no arquivo gerado. Um invasor com privilégios restritos, envenenando qualquer conteúdo usado para gerar relatórios XLS, pode aproveitar o aplicativo para entregar arquivos maliciosos contra usuários com privilégios mais altos e obter Remote Code Execution (RCE) na estação de trabalho do administrador”.

É possível que os agentes de ameaças possam atacar o BAS (sistema de automação predial) “simultaneamente lançando um ataque catastrófico em outros sistemas de controle industrial (ICS) dentro de uma instalação. Se o sistema de alarme de incêndio ou outros sistemas forem atacados com DDoS, isso poderá intensificar um ataque ciberfísico”, alerta o relatório produzido pela Nozomi.

A Siemens já corrigiu a vulnerabilidade, lançando patches também para outras seis falhas que afetam seus dispositivos Desigo PXC e DXR. Em seu boletim, a empresa informa que “os dispositivos Desigo PXC3, PXC4, PXC5 e DXR2 contêm várias vulnerabilidades no aplicativo do servidor web que podem permitir a um invasor potencialmente interceptar a transmissão não criptografada de informações confidenciais, causar uma condição de negação de serviço ou fazer execução remota de código”.

Compartilhar:

Últimas Notícias