02 февраля 2021

Суета вокруг сертификата: что стоит знать об особенностях конфигурирования коммутаторов Siemens SCALANCE X чтобы избежать MitM

Две родственные уязвимости с очень высоким рейтингом 9.1 по CVSS 3.0 каждая обнаружены в сетевом оборудовании Scalance X производства Siemens.

Первая из уязвимостей, с присвоенным идентификатором CVE-2020-28391, внутренний идентификатор Siemens SSA-274900, заключается в использовании для защиты сетевых взаимодействий жестко прописанного ключа шифрования, но только в том случае, если устройство используется совместно с модулем памяти C-PLUG.

Модуль памяти C-PLUG (зарегистрированная торговая марка Siemens) обеспечивает возможность быстрой замены различных сетевых компонентов без их повторного конфигурирования. Он предназначен автоматического сохранения параметров конфигурации и автоматической загрузки этих параметров при включении в работу нового коммуникационного компонента, а также поддерживает дополнительные функции хранения данных.  Установка чистого модуля памяти C-PLUG в сетевой компонент сопровождается автоматическим сохранением параметров настройки данного компонента в модуле C-PLUG. Изменения параметров настройки автоматически фиксируются в модуле C-PLUG без выполнения каких-либо специальных действий.

Несмотря на то, что модуль памяти может применяться  во всех коммуникационных компонентах SIMATICNET, оснащенных разъемом для установки C-PLUG, уязвимыми являются только коммутаторы серии SCALANCE X-200 (включая модификации SIPLUS NET), коммутаторы SCALANCE X-200IRT (включая модификации SIPLUS NET), и коммутаторы SCALANCE X-300 (включая модификации X408 и SIPLUS NET). То есть уязвимость обусловлена не ограничениями технологии C-PLUG, а небрежной реализацией прошивки устройств. При этом в качестве меры противодействия для устройств первых двух из перечисленных серий производитель предлагает вручную обновить сертификаты X.509 на устройстве, а для последней – обновить прошивку устройства до версии V4.1.0 или более поздней. Детали рекомендация могут быть найдены в уведомлении об уязвимостях SSA-274900.

Однако, даже если C-PLUG для уязвимых сетевых компонентов не применяется, имеет смысл последовать рекомендациям производителя и заменить сертификаты или обновить устройство. Дело в том, что наличие подобных уязвимостей в сетевом оборудовании может изменять сценарии (kill chain) атак и связанную с ними оценку рисков. Если для изменения ключа шифрования на известный злоумышленнику вместо полной компрометации устройства, получения учетной записи администратора и переконфигурирования устройства требуется небольшая физическая манипуляция, то результаты оценки рисков для MitM атаки во многих случаях становятся несостоятельными.

Вторая из рассматриваемых уязвимостей, CVE-2020-28395, внутренний идентификатор Siemens тот же SSA-274900, заключается в отсутствии генерации уникального случайного ключа после сброса устройства к заводским установкам и использовании предустановленных закрытый ключей шифрования после сброса. Условия, при которых устройства демонстрируют подобное поведение, не раскрываются. Возможно, так происходит каждый раз после сброса устройства. Перечень уязвимых устройств тот же, что и для уязвимости CVE-2020-28391. В качестве защитной меры предлагаются те же рекомендации, что и для уязвимости CVE-2020-28391, а именно, замена самоподписанного сертификата устройства и сертификатов с указанными производителем отпечатками для устройств серий SCALANCE X-200 и SCALANCE X-200IRT и обновление устройств серии SCALANCE X-300.

Следует отметить, что как и для других MitM атак, эксплуатирующих подмену сертификата, успех данной атаки определяется во многом не столько серьезностью уязвимости (CVSS рейтинг 9.1), сколько осведомленностью пользователя об условиях, при которых эта атака возможна. При настройке собственного сертификата вместо самоподписанного сертификата устройства согласно рекомендациям производителя браузер пользователя по-прежнему будет выдавать предупреждение об опасности атаки на подключение.  Такое же предупреждение будет выдано и в случае самой MitM атаки, обнаружить которую можно только проверив сам сертификат, чего абсолютное большинство пользователей не делает. Внесение сертификата в доверенные на системе, с которой происходит обращение, не входит к рекомендации производителя.

Поэтому для технически осведомленных пользователей атака с эксплуатацией одной из описанных уязвимостей представляет небольшую опасность. Оставшаяся же группа пользователей подвержены MitM в любом случае. Наличие уязвимости и ее рейтинг вносят небольшой вклад в значительность угрозы. Производителям стоит обращать больше внимания на повышение осведомленности пользователей в смысле внесения сертификатов в доверенные (или разрешения подключения с недоверенным сертификатом) только тогда, когда пользователь уверен в своих действиях.

Дата публикации информации об уязвимостях: 12 января 2021

Источник: Siemens, Kaspersky ICS CERT

Авторы
  • Екатерина Рудина

    Руководитель группы аналитиков по информационной безопасности, Kaspersky ICS CERT