USD 76.47 ЕВРО 90.41

Siemens исправляет уязвимость Heartbleed в популярных SCADA-системах

Экономика

Некоторые из других продуктов компании по-прежнему уязвимы

Siemens выпустила обновление безопасности для исправления уязвимости Heartbleed в системе SIMATIC WinCC Open Architecture, используемой для диспетчерского управления и сбора данных (SCADA —  supervisory control and data acquisition) в большом количестве отраслей для управления процессами, машинами и производственными потоками.
Heartbleed является критической уязвимостью безопасности, обнаруженной в начале этого месяца в OpenSSL, самой популярной реализации TLS (Transport Layer Security) и SSL (Secure Sockets Layer) протоколах.

Уязвимость может быть использована для извлечения паролей, ключей шифрования и другой потенциально важной информации из памяти TLS-серверов и клиентов, которые полагаются на протокол OpenSSL для защищенной передачи данных. Хотя большинство дискуссий сосредоточено вокруг уязвимости веб-серверов, она также касается настольных и мобильных приложений, встроенных систем, таких как маршрутизаторы, приборы и промышленные системы управления, в том числе потенциально используемые в критически важной инфраструктуре.

Siemens обновила свои рекомендации по устранению уязвимости Heartbleed в пятницу, объявив о доступности WinCC OA версии 3.12-P006, которая исправляет проблему в WinCC OA 3.12 — единственной уязвимой версии продукта по данным компании.

Тем не менее, Heartbleed также затрагивает другие продукты Siemens: Elan до версии 8.3.3, когда используется RIP, S7-1500 V1.5, когда активен HTTPS, CP1543-1 V1.1, когда активен FTPS и APE 2.0, когда используется компонент SSL/TLS для реализации клиента.

Клиенты ELAN могут решить вопрос безопасности путем обновления до версии 8.3.3, но другие продукты с уязвимостью ещё не получили патчи. Пока Siemens предлагает несколько методов смягчения в своих рекомендациях по безопасности, которые включают отключение или ограничение доступа к веб-серверу в S7-1500 и отключение или ограничение доступа к FTPS в CP1543-1.

Клиенты APE 2.0 могут обновить установку OpenSSL в продукте до версии 1.0.1g, следуя инструкциям, опубликованным на веб-сайте RuggedCom. RuggedCom является дочерней компанией Siemens и производителем продукта.