严重的西门子 RTU 漏洞可导致电网不稳定

专为能源行业设计的西门子工控系统 (ICS) 中存在一个严重漏洞 (CVE-2023-28489)，可导致恶意黑客破坏电网的稳定性。

该漏洞影响 Sicam A8000 CP-8031和CP-8050 产品的 CPCI85固件，可被未认证攻击者用于执行远程代码。这些产品是专为能源供给行业尤其是变电站设计的远程控制和自动化的远程终端单元 (RTUs)。

目前补丁已在固件版本 CPCI85 V05及后续版本中发布。另外西门子还提到可通过限制对使用防火墙的 TCP 端口80和443 上的 web 服务器访问而降低利用风险。

西门子在4月11日发布安全公告时指出，网络安全咨询公司 SEC Consult 的安全研究团队将漏洞告知西门子。

SEC Consult 漏洞实验室主任 Johannes Griel 表示，能够利用CVE-2023-28489的攻击者能够完全控制设备并导致电网不稳定，甚至通过更改关键的自动化参数而导致停电。攻击者还可利用该漏洞执行后门。然而，该专家提到，多数设备用于关键基础设施环境中，因此通常是受到防火墙的强大保护，无法直接从互联网访问。

Greil 解释称，“尽管如此，无法排除通过第三方支持访问连接或潜在的配置不当问题访问某些设备的可能性。”对目标设备具有网络访问权限的攻击者可利用该漏洞，在无需任何认证的情况下获得完整的根访问权限。利用该漏洞涉及向目标 RTU 发送特殊构造的 HTTP 请求。

美国网络安全和基础设施安全局 (CISA) 也在4月份发布安全公告，将该漏洞告知组织机构。Greil 指出，西门子 Sicam 产品是全球首批得到工业网络安全分类“成熟度级别4”认证的设备。该认证 IEC62443-4-1表明安全是整个设计和开发流程中的一个重要因素，且该产品已经过严格测试。

SEC Consult公司目前尚未发布任何技术详情，以组织恶意黑客滥用。不过该公司指出，在西门子中发现了多个漏洞且正在修复中，补丁推出后将发布一些技术详情。

来源：代码卫士  编译