Informazioni sul CVE-2022-38465
N/A
CWE ID: CWE-522
Base Score (CVSS): N/A
CVE: CVE-2022-38465
Descrizione: A vulnerability has been identified in SIMATIC Drive Controller family (All versions < V2.9.2), SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. SIPLUS variants) (All versions), SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) (All versions < V21.9), SIMATIC S7-1200 CPU family (incl. SIPLUS variants) (All versions < V4.5.0), SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) (All versions < V2.9.2), SIMATIC S7-1500 Software Controller (All versions < V21.9), SIMATIC S7-PLCSIM Advanced (All versions < V4.0), SINUMERIK MC (All versions < V6.21), SINUMERIK ONE (All versions < V6.21). Affected products protect the built-in global private key in a way that cannot be considered sufficient any longer. The key is used for the legacy protection of confidential configuration data and the legacy PG/PC and HMI communication. This could allow attackers to discover the private key of a CPU product family by an offline attack against a single CPU of the family. Attackers could then use this knowledge to extract confidential configuration data from projects that are protected by that key or to perform attacks against legacy PG/PC and HMI communication.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
| Exploit Code Maturity (E) | P | Proof-of-Concept | Esistono PoC. |
| Remediation Level (RL) | O | Official Fix | Patch ufficiale disponibile. |
| Report Confidence (RC) | C | Confirmed | Confermata ufficialmente. |
Riferimenti esterni
- https://cert-portal.siemens.com/productcert/pdf/ssa-568427.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-568428.pdf
Prodotti interessati
- Siemens – SIMATIC Drive Controller family
- Siemens – SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. SIPLUS variants)
- Siemens – SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants)
- Siemens – SIMATIC S7-1200 CPU family (incl. SIPLUS variants)
- Siemens – SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants)
- Siemens – SIMATIC S7-1500 Software Controller
- Siemens – SIMATIC S7-PLCSIM Advanced
- Siemens – SINUMERIK MC
- Siemens – SINUMERIK ONE
Relazioni con altri prodotti
Produttore:Siemens
Prodotto: SIMATIC S7-1200 CPU family (incl. SIPLUS variants)
Anno: 2022
CWE: CWE-522
CVSS: 0.0
Produttore:Siemens
Prodotto: SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants)
Anno: 2022
CWE: CWE-522
CVSS: 0.0
Produttore:Siemens
Prodotto: SIMATIC S7-1500 Software Controller
Anno: 2022
CWE: CWE-522
CVSS: 0.0
Produttore:Siemens
Prodotto: SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. SIPLUS variants)
Anno: 2022
CWE: CWE-522
CVSS: 0.0
Produttore:Siemens
Prodotto: SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants)
Anno: 2022
CWE: CWE-522
CVSS: 0.0
Produttore:Siemens
Prodotto: SIMATIC S7-PLCSIM Advanced
Anno: 2022
CWE: CWE-522
CVSS: 0.0
Produttore:Siemens
Prodotto: SIMATIC Drive Controller family
Anno: 2022
CWE: CWE-522
CVSS: 0.0
Produttore:Siemens
Prodotto: SINUMERIK MC
Anno: 2022
CWE: CWE-522
CVSS: 0.0
Produttore:Siemens
Prodotto: SINUMERIK ONE
Anno: 2022
CWE: CWE-522
CVSS: 0.0