Les automates SIMATIC sont très utilisés dans l’industrie. Trois failles CVE critiques viennent d’être révélée.
Les équipements ciblés sont :
- SIMATIC CP 1242-7 V2 (All versions < V3.3.46)
- SIMATIC CP 1243-1 (All versions < V3.3.46)
- SIMATIC CP 1243-7 LTE EU (All versions < V3.3.46)
- SIMATIC CP 1243-7 LTE US (All versions < V3.3.46)
- SIMATIC CP 1243-8 IRC (All versions < V3.3.46)
- SIMATIC CP 1542SP-1 IRC (All versions >= V2.0)
- SIMATIC CP 1543-1 (All versions < V3.0.22)
- SIMATIC CP 1543SP-1 (All versions >= V2.0)
- SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL (All versions >= V2.0)
- SIPLUS ET 200SP CP 1543SP-1 ISEC (All versions >= V2.0)
- SIPLUS ET 200SP CP 1543SP-1 ISEC TX RAIL (All versions >= V2.0),
- SIPLUS NET CP 1242-7 V2 (All versions < V3.3.46)
- SIPLUS NET CP 1543-1 (All versions < V3.0.22),
- SIPLUS S7-1200 CP 1243-1 (All versions < V3.3.46)
- SIPLUS S7-1200 CP 1243-1 RAIL (All versions < V3.3.46)
Tous ces automates permettent des connexions réseaux, on peut d ailleurs facilement en trouver sur le net via le moteur de recherche shodan.io .
La faille de sécurité vient de l’utilisation de la fonction VPN Remote Connect Server (SRCS). Par défaut cette fonction n’est pas activée.
Les failles les plus graves pourraient permettre à un attaquant d’exécuter du code arbitraire avec des privilèges élevés sous certains conditions. Siemens a publié une mise à jour pour plusieurs produits et recommande de mettre à jour vers la dernière version. Siemens prépare d’autres mises à jour et recommande des contre-mesures pour les produits pour lesquels des mises à jour ne sont pas ou pas encore disponibles.
Contre-mesure
Siemens recommande 3 contre-mesures :
- bloquer le port UDP 5243 grâce à un firewall
- désactiver la fonction VPN Remote Connect Server (SRCS)
Assurez-vous de configurer le CP pour qu’il se connecte uniquement aux instances de confiance de SINEMA Remote Connect Serve