Cross-site-scripting kwetsbaarheid ontdekt in SCALANCE S firewalls

Nelson Berg, security researcher bij Applied Risk, heeft vandaag een cross-site-scripting kwetsbaarheid ontdekt in de Siemens SCALANCE S602, S612, S623 en S627-2M firewalls. “Reflected Cross-Site Scripting is mogelijk wanneer gebruikersinvoer ongefilterd wordt weergeven op een webpagina”, legt Berg uit. “Hierdoor is het mogelijk voor een aanvaller om een link te maken waar de gebruikersinvoer (waarde van een parameter) HTML code is, die vervolgens in de browser-context van de persoon die op de link klikt, wordt uitgevoerd.”

Applied Risk heeft hierover gisteren een security advisory uitgebracht (zie link onderaan dit bericht). De kwetsbaarheid is met een door Applied Risk berekende CVSS (Common Vulnerability Scoring System) score van 8.2 (hoog) ernstig te noemen.

De SCALANCE S firewalls worden ingezet om vertrouwde netwerken te beschermen tegen onvertrouwde netwerken, o.a. via het filteren van in- en uitgaande netwerkverbindingen. Gebruik van deze firewalls is wereldwijd gangbaar in veel industriële sectoren waaronder Oil & Gas, maakindustrie, chemie en energie, etc. “In principe is deze specifieke kwetsbaarheid alleen aanwezig in de eerder genoemde firewalls. Het is echter mogelijk dat dezelfde kwetsbaarheid kan worden gevonden in een andere (Siemens) firewall”, verduidelijkt Berg.

Als gevolg van deze kwetsbaarheid kunnen kwaadwilligen essentiële beveiligingsfuncties van de firewall omzeilen. Hierbij wordt het mogelijk ongeautoriseerde toegang te verkrijgen tot industriële netwerken, wat een risico inhoudt voor de operatie en (eventuele) fabricage. Er is directe interactie nodig voordat de kwetsbaarheid kan worden benut. Een interne gebruiker moet de kwetsbaarheid activeren door bijvoorbeeld op een link te klikken. “Er zijn bij ons nog geen gevallen bekend waarbij zulke mails zijn binnengekomen”, legt Berg uit.

Applied Risk heeft met Siemens samengewerkt in het ‘responsible disclosure’ proces en de fabrikant heeft inmiddels een patch uitgebracht. Eindgebruikers kunnen de kwetsbaarheid verhelpen door het updaten van de firmware van het product naar de nieuwste versie.

Je vindt de volledige advisory hier: https://applied-risk.com/labs/advisories