Dispositivos da família Siemens SICAM P850 e P855, utilizados em ambientes de infraestrutura crítica como o setor de energia, apresentam vulnerabilidades que podem ser exploradas remotamente, com baixo nível de complexidade, para executar ações em nome de usuários legítimos. Foram identificadas duas falhas principais nas versões anteriores à 3.11 desses dispositivos.
A primeira, classificada como Cross-Site Request Forgery (CSRF), permite que um invasor engane um usuário autenticado a clicar em um link malicioso, executando comandos na interface web do equipamento sem o seu consentimento. Essa falha foi catalogada como CVE-2023-30901, com pontuação CVSS de 4.3. A segunda vulnerabilidade está relacionada à atribuição incorreta de permissões para recursos críticos. Ao não utilizar adequadamente bandeiras de segurança em cookies de sessão, um atacante que obtenha esse token pode assumir a identidade de um usuário legítimo. Registrada como CVE-2023-31238, essa falha recebeu uma pontuação CVSS de 5.5. A Siemens recomenda que os usuários atualizem os equipamentos afetados para a versão 3.11 ou superior. Como medidas adicionais, orienta-se a não clicar em links de fontes desconhecidas durante sessões autenticadas e a restringir o acesso à porta 443/TCP a endereços IP confiáveis. A mitigação também inclui boas práticas de segurança de rede, como segmentação de dispositivos industriais, aplicação de firewalls, isolamento de redes de controle e utilização de VPNs com versões atualizadas para conexões remotas.
A própria CISA reforça a importância de seguir diretrizes de segurança para sistemas de controle industrial (ICS). Apesar da gravidade técnica das falhas, não há, até o momento, relatos públicos de exploração ativa dessas vulnerabilidades. No entanto, o risco permanece elevado para ambientes sem controle de acesso adequado ou que mantêm dispositivos diretamente expostos à internet. Como recomendação final, a CISA destaca a importância de análises de impacto antes de implementar qualquer medida corretiva, bem como reforça ações contra engenharia social, como evitar o clique em links de e-mails não solicitados e seguir orientações atualizadas de prevenção contra phishing.
