Amerikan ISC CERT takımı tarafından yapılan açıklamda, kullanılan bazı Siemens sistemlerinde OpenSSL implementasyonundan kaynaklı 4 tane açık bulunduğunu belirtmiştir. Etkilenen ürünler süreç ve ağ kontrol ve izleme cihazları olup, kimya sektöründen gıda sektörüne kadar geniş bir yelpazede kullanılmaktadır. Bu açıklar kullanılarak sistemlere man-in-the-middle (MitM) saldırısı düzenlenebileceği gibi web sunucuların çökertilmesine de sebep olabilecek saldırılar da düzenlenebilir. Bu açıklar üzerinden yapılan saldırılardan kaynaklanacak etkiler her organizasyon için farklılık gösterebilir.
Etkilenen cihazlar aşağıda listelenmiştir;
• APE ürünleri Version 2.0.2 öncesi (sadece SSL/TLS veya Crossbow özellikleri kullanılıyorsa),
• CP1543-1: bütün sürümler
• ROX 1: bütün sürümler (Crossbow yüklenmişse),
• ROX 2: bütün sürümler (eLan veya Crossbow yüklenmişse),
• S7-1500: bütün sürümler
• WinCC OA (PVSS): Version 3.8 – 3.12
Siemens tarafından APE ve WinCC OA (PVSS) ürünlerine bu açıkları kapatan güncelleme yayınlanmış olup diğer ürünler için güncellemeler gelene kadar geçici çözüm önerileri Siemens tarafından sunulmuştur. Kalan 4 sisteme güncelleme gelene kadar, olası etkileri azaltmak için bu cihazları dış ağlara kapatıp, güvenlik sistemlerinin (firewall vb) arkasında çalıştırılması önerilir.
* APE sistemleri için gerekli güncelleme Siemens’in sitesinden gerekli adımları takip ederek yapılabilir.
http://support.automation.siemens.com/WW/view/en/97654933
* WinCC OA(PVSS) sistemlerini müşteri portalinden bilgi alarak güncelleyebilirsiniz.
https://portal.etm.at/index.php