Проблемы затрагивают ядро Linux, библиотеку libxml2, реализацию OpenSSH и инструменты GNU Binutils.
Компания Siemens предупредила о наличии более двух десятков уязвимостей в ряде Linux- и GNU-компонентов в многофункциональной платформе CPU 1518(F)-4 PN/DP в составе промышленных контроллеров SIMATIC S7-1500, позволяющей запускать несколько приложений и использовать в программировании устройства функции, написанные на C/C++. В частности, проблемы затрагивают ядро Linux, программную библиотеку для анализа XML-документов libxml2, реализацию OpenSSH и инструменты GNU Binutils, используемые для создания, изменения и анализа бинарных файлов.
Согласно сообщению производителя, большинство проблем позволяют удаленно вызвать отказ в обслуживании контроллера с помощью специально сформированных файлов, а также иным способом повлиять на работу устройства. Компания не предоставила информацию, о каких потенциальных рисках идет речь.
В числе уязвимостей, затрагивающих ядро Linux, которые могут использоваться для атак на SIMATIC S7-1500, Siemens назвала CVE-2018-17972 и CVE-2018-17182. С их помощью злоумышленник может вызвать отказ в обслуживании устройства и (во втором случае) выполнить произвольный код.
Уязвимость в libxml2 также предоставляет возможность DoS-атак, проблема в OpenSSH позволяет провести атаку user enumeration (перечисление пользователей).
В настоящее время производитель готовит к выпуску обновления прошивки, призванные устранить вышеперечисленные проблемы, а пока рекомендует применить меры глубокоэшелонированной защиты и воздержаться от программирования и запуска на уязвимых устройствах приложений из недоверенных источников.
От классики до авангарда — наука во всех жанрах