西门子宣布SIMATIC S7-1500工业自动化控制器隐藏20余个漏洞

西门子于本周二通知客户，其SIMATIC S7-1500工业自动化控制器的多功能平台中部分Linux与GNU组件受到20余个漏洞影响。

据悉，西门子一年前宣布，将通过新多功能平台对SIMATIC S7-1500控制器产品组合进行扩展，允许工厂结合单个设备的控制与PC能力在控制器中运行多个应用程序。用户可以实时运行C++应用程序，但该平台还允许特定客户轻松实现高级语言应用程序。西门子表示，为确保设备安全，将定期发布更新。

西门子MFP

据西门子称，CPU 1518(F)-4 PN/DP多功能平台使用的部分Linux与GNU组件包含21个安全漏洞，这些漏洞已在最近几个月得到修复。准确地说，这些漏洞会影响Linux内核、libxml2 XML解析库、OpenSSH以及用于创建、修改与分析二进制文件的GNU Binutils工具。

据西门子称，该公司公告中提及的17 GNU Binutils漏洞为构建期间相关漏洞，是最近披露的20余个Binutils漏洞之一。

据个人顾问对这些漏洞的描述，远程攻击者可利用其中大部分漏洞，并借专门制作的文件引发拒绝服务条件，但部分漏洞会产生其他影响——这些其他的潜在影响尚不明确。

Linux内核漏洞CVE-2018-17972将西门子设备暴露于攻击之下，且允许本地攻击者引发拒绝服务条件；而利用CVE-2018-17182，攻击者不仅可引发拒绝服务条件，还可执行任意代码。

libxml2漏洞也允许拒绝服务攻击，而OpenSSH漏洞与用户枚举相关。西门子表示，内核，libxml2和OpenSSH漏洞在运行时都是相关的。

西门子表示，为修复这些漏洞，目前正进行固件更新。同时，该公司建议客户应用纵深防御措施，并避免利用不受信任的来源构建与运行受影响平台上的应用程序。