Исследовательская команда из израильской компании Otorio выявила и сообщила о нескольких 0-day уязвимостях в одном из программных продуктах компании Siemens, в частности – Siemens ALM (Automation License Manager). Этот инструмент играет ключевую роль на многих предприятиях для управления лицензиями различных промышленных программных решений.
Otorio впервые оповестила Siemens о данных уязвимостях в прошлом году, подчеркнув их серьёзность. В начале текущего года исследователи описали возможные векторы атак и подчеркнули необходимость их устранения. Основное опасение заключалось в том, что успешное использование уязвимостей может привести к значительному ущербу.
Siemens ALM, хотя и часто объединяется с другими продуктами Siemens при установке, требует отдельного внимания от пользователей. Служба работает с системными привилегиями и управляет лицензиями в системе. Взаимодействие осуществляется через TCP порт 4410 без обязательной аутентификации.
Одна из ключевых уязвимостей, CVE-2022-43513 , позволяет злоумышленникам перемещать файлы внутри целевой машины, что может привести к проблемам с лицензией. Ещё более серьёзной угрозой является уязвимость CVE-2022-43514 , позволяющая атакующим обходить очистку путей и получать привилегии системного уровня на целевой системе.
Эксплуатация данных уязвимостей может привести к удалённому выполнению кода путём множественного переименования и перемещения файлов. Злоумышленники могут заменять и перезапускать исполняемый файл службы ALM, фактически захватывая контроль над затронутой системой.
Пользователям настоятельно рекомендуется обновиться до последней версии Automation License Manager. Кроме того, следует усилить меры безопасности и следовать рекомендациям Siemens по укреплению системы. Рекомендуется также отключить опцию удалённого подключения ALM.
Уязвимости в Siemens ALM напоминают о важности кибербезопасности в критически важных промышленных системах. На использующих данное программное решение предприятиях необходимы быстрые меры для предотвращения возможной эксплуатации.