26 января 2021
Классика, требующая обновления: свежие уязвимости в ПО коммутаторов Siemens SCALANCE X
Раскрыты три уязвимости вызова отказа в обслуживании интегрированного веб-сервера коммутаторов Siemens семейств SCALANCE X-200 / X-200IRT / X-300. Уязвимости описаны в уведомлении Siemens SSA-139628.
Уязвимость CVE-2020-15799 позволяет неавторизованному пользователю перезагрузить устройство путем обращения к определенному URL на интегрированном веб-сервере устройства.
Уязвимость CVE-2020-15800 связана с возможностью переполнения буфера в куче, что приводит к временной остановке интегрированного веб-сервера устройства.
Уязвимость CVE-2020-25226 также связана с переполнением буфера, однако ее эксплуатация приводит к остановке веб-сервера без возможности его восстановления.
К уязвимым относятся коммутаторы тех же трех серий, о которых шла речь в уведомлении SSA-274900, — все, за некоторыми исключениями. А именно, версия прошивки 4.1.0 для устройств серии SCALANCE X-300 (и только их) не является уязвимой по отношению к CVE-2020-15799 и CVE-2020-25226.
В качестве меры противодействия уязвимостям производитель предлагает ограничить на МЭ доступ к встроенным веб-серверам уязвимых устройств (обращения к порту 443/tcp). Заметим, что ограничения доступа к этому и другим портам устройства не будут лишними и для предотвращения MitM атак, которые могут быть реализованы с использованием уязвимостей SSA-274900. Следуя принципу Defense in Depth, стоит ограничить разрешенный на МЭ доступ к портам устройства до минимально необходимого, даже если сертификаты заменены в соответствии с рекомендациями производителя, и прошивки обновлены.
Тем не менее, эти меры не спасают от сценария эксплуатации уязвимости CVE-2020-15799, в котором внешний нарушитель скрытно пересылает URL для перезагрузки пользователю внутри сети, а тот по неосторожности переходит по этой ссылке. Этот сценарий фактически реализует атаку межсайтовой подделки запроса (CSRF). Обновления безопасности для этих уязвимостей, которые могли бы предотвратить этот сценарий, пока что отсутствуют. Стоит надеяться, что они появятся в ближайшее время.
Дата публикации информации об уязвимостях: 12 января 2021 года.
Источник: Siemens