Múltiples vulnerabilidades en dispositivos SICLOCK TC de Siemens
Fecha de publicación
04/07/2018
Importancia
5 - Crítica
Recursos Afectados
- SICLOCK TC100, todas las versiones.
- SICLOCK TC400, todas las versiones.
Descripción
Siemens ha identificado múltiples vulnerabilidades relacionadas con dispositivos SICLOCK TC que permitirían a un atacante remoto generar denegaciones de servicio, realizar una evasión de autenticación, ejecutar código arbitrario y modificar el firmware, tanto del dispositivo, como del cliente que permite la administración del mismo.
Solución
Siemens recomienda a sus clientes seguir los siguientes pasos para mitigar las vulnerabilidades y reducir el riesgo:
- Utilizar fuentes de tiempo redundantes e implementar una verificación de las mismas para tener un control de la información del tiempo.
- Proteger el acceso a la red donde se encuentran los dispositivos afectados con cortafuegos para reducir el riesgo de exposición.
- Se recomienda filtrar todos los puertos, excepto los necesarios para la sincronización de tiempo.
- Si la sincronización de tiempo se realiza mediante el protocolo NTP, se debería abrir el puerto 123/UDP en el cortafuegos.
- Si se realiza utilizando la sincronización de tiempo SIMATIC, deberían abrirse los puertos 22223/UDP y el puerto 22224/UDP en el cortafuegos.
- Para la configuración de éstos parámetros se aconseja el uso de una conexión directa con el dispositivo SICLOCK TC.
- Aplicar el concepto de Defensa en Profundidad: https://www.siemens.com/cert/operational-guidelines-industrial-security
Detalle
- Denegación de servicio: Un atacante remoto con acceso al dispositivo podría causar una condición de denegación de servicio enviando determinados paquetes al dispositivo, causando reinicios e impactando en la funcionalidad del dispositivo afectado. La funcionalidad se recupera cuando se completa la sincronización de tiempo mediante GPS o NTP. Se ha reservado el identificador CVE-2018-4851 para esta vulnerabilidad.
- Evasión de autenticación: Un atacante remoto podría evadir la autenticación si dispone del conocimiento suficiente del dispositivo atacado. La explotación exitosa de esta vulnerabilidad permitiría la lectura y modificación de la configuración del dispositivo. Se ha reservado el identificador CVE-2018-4852 para esta vulnerabilidad.
- Ejecución de código arbitrario: Un atacante remoto con acceso al puerto 69/UDP podría modificar el firmware del dispositivo y conseguir la ejecución de código arbitrario. La explotación de esta vulnerabilidad no requiere de interacción del usuario. Se ha reservado el identificador CVE-2018-4853 para esta vulnerabilidad.
- Ejecución de código arbitrario: Un atacante remoto con acceso al puerto 69/UDP podría modificar el cliente administrativo almacenado en el dispositivo. Si un usuario legítimo se descarga y ejecuta el cliente modificado, el atacante podría conseguir la ejecución de código en el sistema del cliente. Se ha reservado el identificador CVE-2018-4854 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han reservado los identificadores: CVE-2018-4855 y CVE-2018-4856.
Listado de referencias
Etiquetas