15 ноября 2017
Вендоры подтвердили уязвимость индустриальных решений к KRACK-атакам
Об уязвимостях в своем оборудовании заявили сразу несколько компаний, включая Cisco, Rockwell Automation, Sierra Wireless, ABB и Siemens.
Уязвимостям протокола WPA2 подвержено порядка 70 продуктов компании Cisco, включая маршрутизаторы Cisco 829 Industrial Integrated Services и точки доступа серии Industrial Wireless 3700. Компоненты беспроводной инфраструктуры затрагивает одна из десяти уязвимостей (CVE-2017-13082), остальные девять характерны только для клиентских устройств.
Компания Rockwell Automation сообщила об уязвимости своей беспроводной точки доступа Stratix 5100/Workgroup Bridge версии 15.3 (3) JC1 и более ранних версий. Эти устройства также подвержены уязвимости CVE-2017-13082.
Об уязвимости десятков своих продуктов, включая точки доступа и клиентские устройства, проинформировала своих клиентов и Sierra Wireless. Список затронутых устройств Sierra Wireless включает промышленные продукты, такие как шлюз FX30 и маршрутизатор AirLink MP70.
В числе уязвимых продуктов ABB оказались все широкополосные mesh-роутеры и мосты TropOS, работающие под управлением Mesh OS 8.5.2 и более ранних версий.
Уязвимости WPA2 затронули также промышленное оборудование Siemens: точки доступа SCALANCE WLC711 и WLC712, панель оператора SIMATIC Mobile Panel 277F IWLAN, модульные станции SIMATIC ET200 WLAN, устройства RUGGEDCOM RX1400 и RS9xxW, модули серии SCALANCE W-700 и др. Актуальность KRACK-атаки для этих устройств зависит от используемой функциональности. Так, точки доступа SCALANCE WLC711 и WLC712 подвержены уязвимости CVE-2017-13082 в случае, если на них активирована функциональность 802.11r. А устройства SCALANCE W-700, RUGGEDCOM RX1400 и RS9xxW не будут являться уязвимыми, если они работают только в режиме точки доступа.
Вендоры занимаются подготовкой соответствующих обновлений. Они будут публиковаться по мере готовности.
Ранее специалисты Kaspersky Lab уже высказывали предположения об актуальности KRACK-атак для промышленных систем. Более подробная информация по проблеме безопасности беспроводных технологий в промышленных сетях представлена в статье.
Источник: «Лаборатория Касперского», US-CERT