发现该安全漏洞的研究人员表示,影响西门子为能源行业设计的部分工业控制系统(ICS)的一个严重漏洞可能使恶意黑客破坏电网的稳定。
该漏洞被追踪为CVE-2023-28489,影响Sicam A8000 CP-8031和CP-8050产品的CPCI85固件,未经身份验证的攻击者可利用该漏洞远程执行代码。
这些产品是远程终端单元(RTU),专为能源供应领域(尤其是变电站)的远程控制和自动化而设计。
补丁在固件版本CPCI85 V05或更高版本中可用,这家德国工业巨头还指出,可以通过使用防火墙限制TCP端口80和443上对Web服务器的访问来降低被利用的风险。
在4月11日发布的一份公告中,西门子表示,它是从网络安全咨询公司SEC Consult的一组研究人员那里了解到该漏洞的,该咨询公司现在是Atos旗下企业Eviden的一部分。
SEC Consult Vulnerability Lab负责人Johannes Greil告诉SecurityWeek,可以利用CVE-2023-28489的攻击者可以完全控制设备,他们可能会破坏电网稳定,甚至可能通过更改关键自动化参数导致停电。威胁参与者还可以利用该漏洞实施后门。
然而,专家指出,由于这些设备主要用于关键基础设施环境,因此它们通常受到“严格的防火墙保护”,无法直接从互联网访问。Greil解释说:“不能排除某些设备可能可以通过第3方支持访问连接或潜在的错误配置进行访问。”
利用CVE-2023-28489可以使具有目标设备网络访问权限的攻击者无需任何事先身份验证即可获得完全根访问权限。利用该漏洞涉及向目标RTU发送特制的HTTP请求。
尴尬的是,西门子Sicam产品是全球首批获得工业网络安全类别“成熟度 4 级”认证的设备之一。SEC Consult 目前未发布任何技术细节,以防止恶意黑客滥用信息。