西门子中继防护设备存在缺陷易受 DoS 攻击

翻译：360代码卫士团队

西门子通知消费者称，公司的某些 SIPROTEC 中继保护设备的 EN100 通信模块中存在多个漏洞，导致其易受 DoS 攻击。

SIPROTEC 设备为变电所提供控制、保护、测量和自动化功能。这些产品通过 IEC 61850、PROFINET IO、Modbus、DNP3 和 IEC 104 通信使用 EN100 以太网模块。

专注于工控和物联网安全的独立专家团队 ScadaX 发现 EN100 模块和 SIPROTEC 5 中继易受两个 DoS 漏洞攻击，攻击者可通过向目标设备的 TCP 端口102 发送特别构造的数据包。

这些缺陷如遭利用可导致设备的网络功能进入 DoS 条件，而西门子表示它导致系统的可用性遭攻陷。恢复受影响服务需要进行手动干预。

要利用这个缺陷要求访问目标组织机构的网络并启用IEC 61850-MMS 通信，但无需用户交互。

虽然这些漏洞之间存在相似之处，但其中一个漏洞 CVE-2018-11451 被评级为“高危”程度，而另外一个漏洞 CVE-2018-11452 影响示波器运行状态下的 EN100 模块，它被评为“中危”漏洞。西门子表示 SIPROTEC 5 中继仅受其中更严重缺陷的影响。

西门子已为受影响设备发布固件更新以解决这些缺陷问题，并建议用户通过外部防火墙拦截对端口102的访问权限以阻止针对补丁尚未发布的系统的攻击。

工业专业人员经常警告称，由于 DoS 漏洞能影响工控系统的可用性，因此它对工控系统的影响要超过对普通 IT 系统的影响。工控系统的可用性是工业环境中的主要因素。

在西门子 SIPROTEC 中继的案例中，威胁不仅仅存在于理论中。去年，研究人员就曾表示，Industroyer/Crashoverride 恶意软件和针对乌克兰变电所在2016年12月遭受的攻击有关，而攻击者也开发了利用 CVE-2015-5374     开发出一款 DoS 工具导致 SIPROTEC 中继无法做出响应。

原文链接

https://www.securityweek.com/flaws-expose-siemens-protection-relays-dos-attacks

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。