CWE-522 : Identifiants
insuffisamment protégés Les produits concernés protègent la clé privée globale intégrée d'une manière qui ne peut plus être considérée comme suffisante. La clé est utilisée pour la protection héritée des données de configuration confidentielles et la communication PG/PC et IHM héritée.
Cela pourrait permettre aux attaquants de découvrir la clé privée d’une famille de produits CPU par une attaque hors ligne contre un seul CPU de la famille. Les attaquants pourraient ensuite utiliser ces connaissances pour extraire des données de configuration confidentielles de projets protégés par cette clé ou pour effectuer des attaques contre les communications PG/PC et IHM héritées.
Lisez le rapport de Team82 : « La course à l'exécution du code natif dans les API : utilisation de RCE pour découvrir les clés cryptographiques codées en dur Siemens SIMATIC S7-1200/1500 »
CVE-2022-38465
Siemens
SIMATIC S7-1200/1500, Portail TIA
9.3
Team82 s’engage à signaler en privé les vulnérabilités aux fournisseurs concernés de manière coordonnée et opportune afin d’assurer la sécurité de l’écosystème de cybersécurité dans le monde entier. Pour interagir avec le fournisseur et la communauté de recherche, Team82 vous invite à télécharger et à partager notre Politique de divulgation coordonnée. Team82 respectera ce processus de signalement et de divulgation lorsque nous découvrirons des vulnérabilités dans les produits et services.
Team82 a également mis sa clé PGP publique à la disposition du fournisseur et de la communauté de recherche pour échanger avec nous des informations sur la vulnérabilité et la recherche en toute sécurité.
