Компания Siemens сообщила об обнаружении в защитных реле SIPROTEC двух опасных уязвимостей, присутствующих в коммуникационном модуле EN100.
Устройства SIPROTEC представляют собой многофункциональные реле для управления, защиты и автоматизации магистральных линий и электрических подстанций. Для соединений по протоколам IEC 61850, PROFINET IO, Modbus, DNP3 и IEC 104 в данных продуктах используется Ethernet-модуль EN100.
Как сообщили исследователи из ScadaX, независимой группы экспертов, специализирующихся на защите автоматизированных систем управления технологическими процессами и IoT-устройств, в модулях EN100 и SIPROTEC 5 существуют две уязвимости, которые могут быть проэксплуатированы злоумышленником путем отправки специально сформированных пакетов на TCP-порт 102 целевого устройства. Успешная эксплуатация проблем позволяет добиться отказа в обслуживании (DoS) сетевого функционала устройства. Восстановление полноценной работы реле необходимо проводить вручную, отметили представители Siemens. Для успешной атаки злоумышленнику необходим доступ к сети целевой организации. Эксплуатация уязвимостей осуществляется по протоколу IEC 61850-MMS.
Уязвимости схожи между собой, однако одна из них (CVE-2018-11451), классифицирована как более опасная, в то время как вторая проблема (CVE-2018-11452), затрагивающая модуль EN100, имеет «среднюю степень опасности». По словам представителей Siemens, в реле SIPROTEC 5 присутствует только более серьезная уязвимость.
Siemens выпустила обновления прошивки для некоторых уязвимых устройств. Пользователям рекомендуется заблокировать доступ к порту 102 с помощью межсетевого экрана для предотвращения атак на модели устройств, которые еще не получили обновления.
Это уже не первый случай обнаружения в реле от компании Siemens проблем, позволяющих добиться отказа в обслуживании. Ранее уязвимость CVE-2015-5374 в реле SIPROTEC была проэксплуатирована хакерской группировкой Sandworm в ходе кибератак на энергетический сектор Украины.

Источник: securitylab.ru