Исследователи компании Nozomi Networks, занимающиеся вопросами IoT- и OT-безопасности, заявили , что контроллеры автоматизации зданий производства Siemens подвержены DoS-уязвимости, которая при эксплуатации может нарушить работу устройств на длительное время. Контроллер Siemens PXC4.E16 представляет собой программируемую систему автоматизации зданий (BAS) из семейства Desigo, предназначенную для HVAC и инженерных сетей зданий. В самом устройстве и предназначенном для него инструменте ABT Site Engineering and Commissioning Tool нашли уязвимости, которые можно использовать для атак типа «отказ в обслуживании» (DoS). В промышленных средах такая атака может повлечь серьёзные последствия. Уязвимость CVE-2022-24040 связана с функцией получения ключа PBKDF2 для защиты паролей пользователей. Инсайдер или злоумышленник, у которого есть привилегии для доступа к профилям пользователей, может создать новую или изменить существующую учетную запись, а затем спровоцировать DoS простой попыткой войти в эту учётную запись. Меню конфигурации роли пользователя, где разрешения «доступ к профилю пользователя» могут быть назначены роли с привилегиями «базовых операций» Тесты Nozomi показали, что такая попытка входа может «сделать устройство недоступным на несколько дней». Затем хакер может повторить весь процесс, чтобы увеличить время простоя контроллера. HTTP-запрос на создание открытого пароля со строкой PBKDF2 «Злоумышленники могут атаковать BAS одновременно с масштабной атакой на другие системы АСУ ТП. Если система пожарной сигнализации или другие системы подвергаются DDoS-атаке, это может усилить такую киберфизическую атаку», — отмечают эксперты. Декомпилированный код бинарного кода веб-сервиса Время простоя устройства после попытки входа с помощью HMAC-SHA256 и 1 000 000 итераций На днях Siemens уже исправила уязвимость CVE-2022-24040 вместе с шестью другими, затрагивающими ее устройства Desigo PXC и DXR. В начале марта Siemens остановила продажи своей продукции и разработок российским компаниям, находящимся под американскими санкциям. 12 мая Siemens объявила о полном прекращении бизнеса в России. Компания присутствовала в стране с 1852 года.)