Μια ευπάθεια που επηρεάζει τους ελεγκτές αυτοματισμού κτιρίων από τη Siemens μπορεί να εκμεταλλευτεί για να διαταράξει μια συσκευή για μεγάλο χρονικό διάστημα, σύμφωνα με την εταιρεία κυβερνοασφάλειας OT και IoT Nozomi Networks.
Οι ερευνητές της Nozomi ανέλυσαν πρόσφατα το PXC4.E16 της Siemens, ένα προγραμματιζόμενο σύστημα αυτοματισμού κτιρίων (BAS) της οικογένειας Desigo που έχει σχεδιαστεί για HVAC και εγκαταστάσεις κτιρίων.
Ανακάλυψαν ότι η συσκευή, συγκεκριμένα το ABT Site Engineering and Commissioning Tool, επηρεάζεται από μια ευπάθεια που μπορεί να χρησιμοποιηθεί για επιθέσεις άρνησης υπηρεσίας (DoS).
Η ευπάθεια έχει βαθμολογία σοβαρότητας «μέτρια» με βάση τη βαθμολογία CVSS, αλλά οι ειδικοί στον τομέα της κυβερνοασφάλειας έχουν συχνά προειδοποιήσει ότι σε βιομηχανικά περιβάλλοντα μια επίθεση DoS μπορεί να έχει σημαντικό αντίκτυπο.
Το ελάττωμα, που προσδιορίζεται ως CVE-2022-24040, σχετίζεται με τη χρήση της συνάρτησης παραγωγής κλειδιού PBKDF2 για την εξασφάλιση κωδικών πρόσβασης χρηστών. Ένας κακόβουλος χρήστης ή ένας εισβολέας που έχει δικαιώματα “πρόσβασης στο προφίλ χρήστη” στο εργαλείο μπορεί να δημιουργήσει ή να ενημερώσει έναν λογαριασμό και να προκαλέσει μια κατάσταση DoS επιχειρώντας να συνδεθεί σε αυτόν τον λογαριασμό.
«Η εφαρμογή Ιστού αποτυγχάνει να επιβάλει ένα ανώτερο όριο στον παράγοντα κόστους του κλειδιού που προέρχεται από PBKDF2 κατά τη δημιουργία ή την ενημέρωση ενός λογαριασμού», εξήγησε η Siemens στη συμβουλευτική. “Ένας εισβολέας με το δικαίωμα πρόσβασης στο προφίλ χρήστη θα μπορούσε να προκαλέσει μια κατάσταση άρνησης υπηρεσίας (DoS) μέσω της κατανάλωσης CPU ορίζοντας ένα κλειδί που προέρχεται από PBKDF2 με αξιοσημείωτα υψηλό κόστος και στη συνέχεια επιχειρώντας μια σύνδεση στον έτσι τροποποιημένο λογαριασμό.”
Οι δοκιμές που διεξήγαγε η Nozomi έδειξαν ότι, στη χειρότερη περίπτωση, ένας εισβολέας θα μπορούσε «να καταστήσει τη συσκευή μη διαθέσιμη για μέρες απλώς επιχειρώντας μια σύνδεση» και θα μπορούσε να επαναλάβει τη διαδικασία για να παρατείνει περαιτέρω το χρόνο διακοπής λειτουργίας του ελεγκτή.
«Είναι επίσης πιθανό οι παράγοντες απειλής να επιτεθούν στο BAS ενώ ταυτόχρονα εξαπολύουν μια καταστροφική επίθεση σε άλλα συστήματα βιομηχανικού ελέγχου (ICS) εντός μιας εγκατάστασης. Εάν το σύστημα συναγερμού πυρκαγιάς ή άλλα συστήματα είναι DDoSed, θα μπορούσε να εντείνει μια κυβερνο-φυσική επίθεση», προειδοποίησε.
Η Siemens επιδιορθώνει την ευπάθεια αυτή την εβδομάδα, μαζί με έξι άλλα ελαττώματα που επηρεάζουν τις συσκευές Desigo PXC και DXR της.