CWE-522: Unzureichend geschützte, betroffene Anmeldedaten
schützen den integrierten globalen privaten Schlüssel auf eine Weise, die nicht mehr als ausreichend angesehen werden kann. Der Schlüssel wird für den Legacy-Schutz vertraulicher Konfigurationsdaten und die Legacy-PG/PC- und HMI-Kommunikation verwendet.
Dies könnte es Angreifern ermöglichen, den privaten Schlüssel einer CPU-Produktfamilie durch einen Offline-Angriff auf eine einzelne CPU der Familie zu entdecken. Angreifer könnten dieses Wissen dann nutzen, um vertrauliche Konfigurationsdaten aus Projekten zu extrahieren, die durch diesen Schlüssel geschützt sind, oder um Angriffe auf die Legacy-PG/PC- und HMI-Kommunikation durchzuführen.
Lesen Sie den Bericht von Team82: „The Race to Native Code Execution in PLCs: Using RCE to Uncover Siemens SIMATIC S7-1200/1500 Hardcoded Cryptographic Keys“
CVE-2022-38465
Siemens
SIMATIC S7-1200/1500, TIA Portal
9.3
Team82 hat sich verpflichtet, die betroffenen Anbieter in einer koordinierten, zeitnahen Weise privat über Schwachstellen zu informieren, um die Sicherheit des Cybersicherheits-Ökosystems weltweit zu gewährleisten. Um mit der Anbieter- und Forschungsgemeinschaft in Kontakt zu treten, lädt Team82 Sie ein, unsere Richtlinie zur koordinierten Offenlegung herunterzuladen und weiterzugeben. Team82 wird diesen Melde- und Offenlegungsprozess einhalten, wenn wir Schwachstellen in Produkten und Dienstleistungen entdecken.
Team82 hat auch seinen öffentlichen PGP-Schlüssel für Anbieter und Forschungsgemeinschaften zur Verfügung gestellt, um Schwachstellen und Forschungsinformationen sicher und sicher mit uns auszutauschen.
