Biznet BilişimBiznet Bilişim

SIEMENS Desigo PXC Yetkisiz Firmware Yükleme Zafiyeti

Yazar: Can Demirel

CVE: CVE-2018-4834

CVSS: 9.8 CVSS:3.0 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Risk: Kritik

Ürün: SIEMENS Desigo PXC

Etkilenen Sürümler: 6.00.204 öncesi tüm sürümler

Yama Tarihi: 24 Ocak 2018

Raporlayan: Can Demirel, Melih Berk Ekşioğlu

Problem Detayları: SIEMENS Desigo PXC kritik altyapıların bina otomasyonu amacıyla kullanılmaktadır. Desigo PXC üzerinde yetkisiz firmware yükleme zafiyeti tespit edilmiştir. Bu durum kullanılarak controller üzerinde tam kontrol sağlamak mümkündür.

Çözüm/Öneri: Üretici tarafından yayınlanan yamanın uygulanması tavsiye edilmektedir.

Referanslar:
https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-824231.pdf
https://ics-cert.us-cert.gov/advisories/ICSA-18-025-02

can.demirel
Yazar: can.demirel