Kritieke kwetsbaarheden in Siemens Nucleus RTOS


De beveiligingsonderzoekers van Forescout hebben opnieuw beveiligingslekken gevonden in de netwerkstack van het Siemens Nucleus realtime besturingssysteem (Realtime OS, RTOS) – 13 in totaal. Minstens één van hen is geclassificeerd als kritisch met een CVSS-score van 9,8.

In uw Beveiligingsbericht de IT-beveiligingsexperts lijsten de individuele hiaten op, samen met hun CVE-nummer en risicobeoordeling. Als er bijvoorbeeld een onjuiste lengtecontrole wordt uitgevoerd wanneer een FTP-gebruikersnaam wordt overgedragen, kan een op stack gebaseerde bufferoverloop leiden tot de uitvoering van geïnjecteerde code: het systeem zou volledig in gevaar komen.

Iets soortgelijks is gevonden bij de wachtwoordoverdracht naar de geïntegreerde FTP-server of de bijbehorende MKD– respectievelijk XMKD-Opdracht. De ICMP- en UDP-implementatie missen ook lengtecontroles voor de pakketladingen, die kunnen worden gebruikt voor denial-of-service-aanvallen of leiden tot informatielekken.

Verdere details zijn te vinden in het bovenstaande beveiligingsbericht van Forescout. Nucleus OS is een veelgebruikt besturingssysteem, bijvoorbeeld voor industriële besturingen en embedded systemen op basis van bijvoorbeeld ARM- of MIPS-processors. Zelfs als Siemens updates levert, worden deze apparaten meestal zelden bijgewerkt. Onderzoekers vinden hier regelmatig de besturingssystemen voor slechte veiligheidsgaten. Het internet der dingen is nog steeds relatief kapot als het gaat om beveiliging.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: