Fehlende Authentifizierung beim Dateidownload und Denial of Service bei Siemens A8000

Title

Fehlende Authentifizierung beim Dateidownload und Denial of Service bei Siemens A8000

Product

Siemens A8000 CP-8050/CP-8031 SICAM WEB

Vulnerable Version

< SICAM WEB Version 05.80 / < Firmware Package 04.80

Fixed Version

SICAM WEB V05.80 / Firmware Package 04.80

CVE Number

CVE-2022-27480

Impact

medium

Homepage

https://www.siemens.com

Found

10.11.2021

By

Steffen Robertz, Gerhard Hechenberger, Thomas Weber (Office Vienna)

This vulnerability was discovered during the research cooperation initiative "OT Cyber Security Lab" between Verbund AG and SEC Consult Group.

Die Siemens A8000 SPS überprüft nicht die Authentifizierung für einen Endpunkt des Admin-Interfaces. Dadurch ist es einem unauthentifizierten Benutzer möglich, z.B. Netzwerktraffic-Daten herunterzuladen. Desweiteren kann die SPS nur sehr geringe Netzwerklasten verarbeiten und deaktiviert das Admin-Interface, sobald das Limit überschritten ist.

 

Zum vollständigen Security Advisory (Englisch).

EOF Steffen Robertz, Gerhard Hechenberger, Thomas Weber (Office Vienna)  / @2022

Zurück