Vulnerabilidade grave em PLC da Siemens.

Foi descoberta uma nova vulnerabilidade muito grave que permite a execução de código de forma remota e sem necessidade de autenticação.

A vulnerabilidade é a CVE-2020-15782 e afeta as CPU SIMATIC S7-1200 e S7-1500 e poderá permitir contornar as proteções de memória destes dispositivos para escrever ou ler dados arbitrários em áreas de memória restrita e, com isso, elaborar ataques mais sofisticados ao dispor de acesso completo à memória do dispositivo.

Engenheiros de cibersegurança da Claroty identificaram esta vulnerabilidade e mostram como um atacante poderia aproveitá-la, simplesmente tendo acesso à porta TCP 102 do PLC, e escrever uma shellcode diretamente na estrutura do sistema operativo e, desta maneira, dar a capacidade de executar código remoto e/ou adicionar características maliciosas ocultas.

Na seguinte entrada do blog da Claroty explica-se em detalhe como contornar a sandbox destes PLC.

Um ataque bem-sucedido desta vulnerabilidade pode ser muito difícil de detetar, já que seria o próprio PLC a executar as ações maliciosas diretamente no processo.

Como sempre, a solução passa por manter os sistemas atualizados e ter consciência de como funcionam realmente as redes industriais graças a soluções de monitorização profunda.