Gli hacker possono disabilitare i sistemi Siemens di automazione degli edifici

I ricercatori di Nozomi hanno recentemente analizzato il Siemens PXC4.E16, un sistema di automazione degli edifici programmabile (BAS) della famiglia Desigo per HVAC e attività di manutenzione degli edifici, e hanno scoperto che lo strumento ABT per la progettazione e la messa in servizio dei dispositivi Siemens è vulnerabile agli attacchi DoS.

La vulnerabilità non è critica, ma gli esperti di sicurezza spesso avvertono che un attacco DoS può avere gravi conseguenze negli ambienti industriali.

La vulnerabilità CVE-2022-24040 è associata all’uso della funzione di derivazione della chiave PBKDF2 per proteggere le password degli utenti. Un insider o un utente malintenzionato che ha accesso al profilo di un utente nello strumento ABT può causare una condizione di Denial of Service a livello di sistema quando tenta di accedere all’account.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“L’applicazione web non limita la lunghezza della chiave PBKDF2 durante la creazione di un account o l’aggiornamento delle sue impostazioni”

spiega Siemens in un post. 

“Un utente malintenzionato con privilegi di accesso al profilo utente potrebbe causare una condizione di Denial of Service sovraccaricando il processore con una chiave PBKDF2 troppo lunga e quindi tentando di accedere all’account”.

I test condotti da Nozomi hanno dimostrato che nel peggiore dei casi, un utente malintenzionato può disabilitare un dispositivo per diversi giorni semplicemente accedendo ad intervalli regolare per prolungare il tempo di inattività del controller.

“È anche possibile che gli aggressori possano attaccare il BAS mentre contemporaneamente effettuano un attacco distruttivo ad altri sistemi di controllo industriale (ICS). Se il sistema di allarme antincendio o altri sistemi sono soggetti a un attacco DDoS, ciò potrebbe amplificare un cyber-attacco fisico”

Ha avvertito Nozomi .

Questa settimana, Siemens ha corretto il CVE-2022-24040, oltre ad altre sei vulnerabilità che interessano i dispositivi Desigo PXC e DXR.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli