В популярном стеке TCP/IP от Siemens исправлены 13 уязвимостей

Ср 10 Ноябрь 2021 05:13

Специалисты компаний Forescout и Medigate Labs раскрыли подробности о 13 уязвимостях в чрезвычайно важной программной библиотеке Siemens, использующейся в медицинском оборудовании, автомобилях и промышленных устройствах.

Получившие общее название NUCLEUS:13 уязвимости присутствуют в Nucleus NET - стеке TCP/IP операционной системы реального времени Siemens Nucleus, обычно запускаемой на материнских платах (SoC) внутри медицинских аппаратов, автомобилей, смартфонов, IoT-устройств, промышленных ПЛК и пр.

Уязвимости NUCLEUS:13 позволяют вызывать аварийное завершение работы, похищать информацию и захватывать контроль над устройством с устаревшими версиями Nucleus. Самой опасной является уязвимость удаленного выполнения кода CVE-2021-31886.

Специалисты Forescout оказали содействие Siemens и US ICS-CERT в исправлении уязвимостей до обнародования сведений о них.

ICS-CERT опубликовала уведомление о NUCLEUS:13 для организаций в США, а Siemens разослала обновления безопасности своим клиентам через частный портал CERT.

Исследователь из Forescout Станислав Дашевский также опубликовал PoC-видео, в котором продемонстрировал практическую эксплуатацию NUCLEUS:13 для получения контроля над уязвимыми устройствами. По его словам, атакующему достаточно лишь подключиться к устройству, а сама атака занимает считанные секунды.

Уязвимости NUCLEUS:13 являются пятой и последней частью исследовательского проекта Project Memoria, в рамках которого исследователи из Forescout изучали популярные стеки TCP/IP на предмет наличия в них уязвимостей.

В общей сложности в рамках Project Memoria было обнаружено 97 уязвимостей в 14 стеках TCP/IP: AMNESIA:33 , NUMBER:JACK , NAME:WRECK , INFRA:HALT и NUCLEUS:13.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 255 дней 10 часов 27 минут 49 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.