Múltiples vulnerabilidades en dispositivos SICLOCK TC de Siemens

Fecha de publicación 04/07/2018
Importancia
5 - Crítica
Recursos Afectados
  • SICLOCK TC100, todas las versiones.
  • SICLOCK TC400, todas las versiones.
Descripción

Siemens ha identificado múltiples vulnerabilidades relacionadas con dispositivos SICLOCK TC que permitirían a un atacante remoto generar denegaciones de servicio, realizar una evasión de autenticación, ejecutar código arbitrario y modificar el firmware, tanto del dispositivo, como del cliente que permite la administración del mismo.

Solución

Siemens recomienda a sus clientes seguir los siguientes pasos para mitigar las vulnerabilidades y reducir el riesgo:

  • Utilizar fuentes de tiempo redundantes e implementar una verificación de las mismas para tener un control de la información del tiempo.
  • Proteger el acceso a la red donde se encuentran los dispositivos afectados con cortafuegos para reducir el riesgo de exposición.
  • Se recomienda filtrar todos los puertos, excepto los necesarios para la sincronización de tiempo.
    • Si la sincronización de tiempo se realiza mediante el protocolo NTP, se debería abrir el puerto 123/UDP en el cortafuegos.
    • Si se realiza utilizando la sincronización de tiempo SIMATIC, deberían abrirse los puertos 22223/UDP y el puerto 22224/UDP en el cortafuegos.
  • Para la configuración de éstos parámetros se aconseja el uso de una conexión directa con el dispositivo SICLOCK TC.
  • Aplicar el concepto de Defensa en Profundidad: https://www.siemens.com/cert/operational-guidelines-industrial-security
Detalle
  • Denegación de servicio: Un atacante remoto con acceso al dispositivo podría causar una condición de denegación de servicio enviando determinados paquetes al dispositivo, causando reinicios e impactando en la funcionalidad del dispositivo afectado. La funcionalidad se recupera cuando se completa la sincronización de tiempo mediante GPS o NTP. Se ha reservado el identificador CVE-2018-4851 para esta vulnerabilidad.
  • Evasión de autenticación: Un atacante remoto podría evadir la autenticación si dispone del conocimiento suficiente del dispositivo atacado. La explotación exitosa de esta vulnerabilidad permitiría la lectura y modificación de la configuración del dispositivo. Se ha reservado el identificador CVE-2018-4852 para esta vulnerabilidad.
  • Ejecución de código arbitrario: Un atacante remoto con acceso al puerto 69/UDP podría modificar el firmware del dispositivo y conseguir la ejecución de código arbitrario. La explotación de esta vulnerabilidad no requiere de interacción del usuario. Se ha reservado el identificador CVE-2018-4853 para esta vulnerabilidad.
  • Ejecución de código arbitrario: Un atacante remoto con acceso al puerto 69/UDP podría modificar el cliente administrativo almacenado en el dispositivo. Si un usuario legítimo se descarga y ejecuta el cliente modificado, el atacante podría conseguir la ejecución de código en el sistema del cliente. Se ha reservado el identificador CVE-2018-4854 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han reservado los identificadores: CVE-2018-4855 y CVE-2018-4856.

Encuesta valoración

Listado de referencias
SSA-197012: Vulnerabilities in SICLOCK central plant clocks
Etiquetas