Суть уязвимости

Привилегированный удаленный злоумышленник может отправить специально сформированный пакет на определенные TCP-порты устройства SIMATIC CP, что приводит к отказу в обслуживании (DoS) и перезагрузке коммуникационного процессора.

Как исправить

Установите обновления прошивки для вашего конкретного устройства SIMATIC CP. Актуальные версии зависят от модели. Основные патчи:

• Для CP 1543-1: Обновитесь до версии прошивки V2.0.28 или новее.
• Для CP 1542SP-1 IRC: Обновитесь до версии прошивки V2.1.46 или новее.

Процедура обновления: 1. Скачайте последнюю версию прошивки с портала Siemens Industry Online Support. 2. Загрузите файл обновления на устройство с помощью TIA Portal или SIMATIC Manager. 3. Выполните обновление в соответствии с официальным руководством Siemens.

# Пример команды для проверки текущей версии через TIA Portal или Web-интерфейс устройства
# (Конкретная команда зависит от среды. Обычно проверка выполняется в графическом интерфейсе.)
# В TIA Portal: откройте проект -> онлайн-подключение к устройству -> информация об устройстве.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

1. Ограничьте сетевой доступ:

   • Настройте правила межсетевого экрана (Firewall) для блокировки всего входящего трафика на TCP-порты 102 (ISO-TSAP), 502 (Modbus TCP) и 20000 (используется CP) от ненадежных сетей (например, Интернета).
   • Разрешите подключения к этим портам только с доверенных IP-адресов (SCADA-серверов, инженерных станций).

   ```bash

   Пример правила для iptables (Linux-брандмауэр) для блокировки порта 102 извне

   iptables -A INPUT -p tcp --dport 102 -s ! <ДОВЕРЕННАЯ_СЕТЬ> -j DROP ```

2. Используйте сегментацию сети:

   • Поместите устройства SIMATIC CP в изолированный сегмент сети (например, VLAN), отделенный от офисной сети и Интернета.

3. Отключите неиспользуемые сервисы:

   • Проверьте конфигурацию CP и через TIA Portal или Web-интерфейс отключите все неиспользуемые коммуникационные сервисы и протоколы.