Podatności urządzeń Siprotec oraz oprogramowania DIGSI 4 firmy Siemens

ICS-CERT poinformował o nowych podatnościach:

Producent: Siemens

Produkty: Moduł Siemens SIPROTEC 4, SIPROTEC Compact, narzędzie do obsługi i programowania urządzeń DIGSI 4, moduł EN100 Ethernet

Skutki wykorzystania podatności: przesłanie zmodyfikowanej konfiguracji urządzenia, która może nadpisać hasła dostępu lub zezwolić na przechwytywanie określonego ruchu sieciowego, który może zawierać hasła autoryzacyjne

Opis podatności: brak uwierzytelnienia dla funkcji krytycznej, niewystarczająca siła szyfrowania

Podatność:

Lista produktów których dotyczy podatność:

DIGSI 4: Wszystkie wersje wcześniejsze niż V4.92,
Moduł EN100 Ethernet w wersji IEC 61850: wszystkie wersje przed V4.30,
Moduł Ethernet EN100 PROFINET wariant IO: wszystkie wersje,
Moduł Ethernet EN100 Modbus TCP wariant: wszystkie wersje,
M
oduł Ethernet EN100 DNP3 wariant: wszystkie wersje,
EN100 Moduł Ethernet Wersja IEC 104: wszystkie wersje,
SIPROTEC 4 7SJ66: wszystkie wersje wcześniejsze niż V4.30; dot.
CVE-2018-4839,
SIPROTEC Compact 7SJ80: wszystkie wersje wcześniejsze niż V4.77; dot. CVE-2018-4839,
SIPROTEC Compact 7SK80: wszystkie wersje wcześniejsze niż V4.77; dot. CVE-2018-4839,
Inne przekaźniki SIPROTEC Compact: wszystkie wersje; dot. CVE-2018-4839, oraz
Inne przekaźniki SIPROTEC 4: wszystkie wersje; dot. CVE-2018-4839.

Aktualizacje i dodatkowe informacje dostępne są na stronie: https://ics-cert.us-cert.gov/advisories/ICSA-18-067-01