西门子自动化许可证管理器(ALM)中的两个0day漏洞可能允许攻击者在目标系统上远程执行代码。总部位于特拉维夫的OTORIO公司的网络安全研究团队发现并报告了这些漏洞。

OTORIO的网络安全研究人员在西门子ALM（自动化许可证管理器）中发现了多个0day漏洞，这是西门子软件产品的一个关键组件，用于管理各种工业解决方案的许可证。这些漏洞的影响是深远的，影响了PCS 7、TIA Portal、STEP 7、SIMATIC HMI、SIMOTION、SIMATIC NET、SINAMICS和SIMOCODE等系统。

OTORIO Research去年首次向西门子发出有关这些漏洞的警报，强调了它们的严重性，特别是因为ALM在他们测试的所有PCS 7服务器上默认启用。今年早些时候，他们详细介绍了与这些漏洞相关的潜在攻击媒介，强调修补或缓解这些漏洞的紧迫性。此警告至关重要，因为成功利用这些漏洞可能会导致重大损害。

在最新的披露中，OTORIO提供了更多技术细节来阐明这些漏洞，帮助利益相关者更好地理解和增强受影响系统的安全性。

西门子ALM虽然在安装过程中经常与其他西门子产品捆绑在一起，但它是一个独立的实体，需要用户的独立关注。它在客户端-服务器架构上运行，通过TCP端口4410进行通信。服务组件以系统权限运行并管理系统上的许可证，而用户可以通过客户端应用程序在本地或远程连接到它。

身份验证不是强制性的，但某些操作仅限于远程连接。默认操作被认为是安全的，这意味着ALM客户端和服务器之间的通信没有内置安全措施。

其中一个严重漏洞被识别为CVE-2022-43513，允许恶意攻击者在目标计算机内移动文件。由于路径验证不充分，这可能会导致许可证问题。然而，真正的危险来自另一个漏洞CVE-2022-43514，它使攻击者能够绕过路径清理。

此漏洞允许在目标计算机和攻击者控制的任意网络共享之间进行任意文件移动，最终授予他们在目标系统上的系统级权限。

利用这些漏洞可以通过多个文件重命名和移动操作实现远程代码执行(RCE)。攻击者可以替换并重新启动ALM服务可执行文件，从而有效地控制受影响的系统。

鉴于这些漏洞的广泛影响，立即缓解至关重要。强烈建议用户更新到最新版本的自动化许可证管理器。此外，建议实施额外的安全预防措施并遵循西门子的强化指南。用户应考虑禁用ALM远程连接选项（即使默认情况下已启用）以进一步增强安全性。

总之，西门子ALM中的漏洞提醒人们网络安全在关键工业系统中的重要性。必须立即采取行动以防止潜在的利用，并鼓励用户遵循最佳实践和强化指南来保护其系统。