A vulnerability has been identified in SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0) (All versions), SIMATIC ET 200MP IM 155-5 PN HF (6ES7155-5AA00-0AC0) (All versions >= V4.2.0), SIMATIC ET 200SP IM 155-6 MF HF (6ES7155-6MU00-0CN0) (All versions), SIMATIC ET 200SP IM 155-6 PN HA (incl. SIPLUS variants) (All versions < V1.3), SIMATIC ET 200SP IM 155-6 PN R1 (6ES7155-6AU00-0HM0) (All versions < V6.0.1), SIMATIC ET 200SP IM 155-6 PN/2 HF (6ES7155-6AU01-0CN0) (All versions >= V4.2.0), SIMATIC ET 200SP IM 155-6 PN/3 HF (6ES7155-6AU30-0CN0) (All versions < V4.2.2), SIMATIC PN/MF Coupler (6ES7158-3MU10-0XA0) (All versions), SIMATIC PN/PN Coupler (6ES7158-3AD10-0XA0) (All versions < V6.0.0), SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-2AC0) (All versions >= V4.2.0), SIPLUS ET 200MP IM 155-5 PN HF (6AG1155-5AA00-7AC0) (All versions >= V4.2.0), SIPLUS ET 200MP IM 155-5 PN HF T1 RAIL (6AG2155-5AA00-1AC0) (All versions >= V4.2.0), SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-2CN0) (All versions >= V4.2.0), SIPLUS ET 200SP IM 155-6 PN HF (6AG1155-6AU01-7CN0) (All versions >= V4.2.0), SIPLUS ET 200SP IM 155-6 PN HF T1 RAIL (6AG2155-6AU01-1CN0) (All versions >= V4.2.0), SIPLUS ET 200SP IM 155-6 PN HF TX RAIL (6AG2155-6AU01-4CN0) (All versions >= V4.2.0), SIPLUS NET PN/PN Coupler (6AG2158-3AD10-4XA0) (All versions < V6.0.0). Affected devices do not properly handle S7 protocol session disconnect requests. When receiving a valid S7 protocol Disconnect Request (COTP DR TPDU) on TCP port 102, the devices enter an improper session state.
This could allow an attacker to cause the device to become unresponsive, leading to a denial-of-service condition that requires a power cycle to restore normal operation.
CVE-2025-40944 affects multiple Siemens SIMATIC industrial automation devices (ET 200 series and PN/MF couplers) with a vulnerability in S7 protocol session handling. An attacker can send a malformed S7 Disconnect Request on TCP port 102 to cause devices to enter an improper state, resulting in denial-of-service requiring power cycle recovery. With CVSS 7.5 and no exploit currently available, this poses significant risk to Saudi industrial infrastructure including oil/gas, water treatment, and manufacturing facilities.
IMMEDIATE ACTIONS:
1. Identify all affected SIMATIC devices in your environment using the provided model numbers (ET 200AL IM 157-1 PN, ET 200MP IM 155-5 PN HF, ET 200SP variants, PN/MF and PN/PN Couplers)
2. Isolate affected devices from untrusted networks; restrict TCP port 102 access to authorized engineering stations only
3. Implement network segmentation to prevent direct S7 protocol access from external networks
4. Enable firewall rules to block S7 protocol traffic (TCP 102) from non-whitelisted sources
PATCHING GUIDANCE:
1. Apply vendor patches immediately for all affected models:
- ET 200SP IM 155-6 PN HA: Update to V1.3 or later
- ET 200SP IM 155-6 PN R1: Update to V6.0.1 or later
- ET 200SP IM 155-6 PN/3 HF: Update to V4.2.2 or later
- PN/PN Coupler: Update to V6.0.0 or later
- SIPLUS NET PN/PN Coupler: Update to V6.0.0 or later
2. Test patches in non-production environment first
3. Schedule maintenance windows for production device updates
COMPENSATING CONTROLS (if patching delayed):
1. Deploy IDS/IPS rules to detect malformed S7 Disconnect Requests on port 102
2. Implement network access control lists (ACLs) limiting S7 protocol to authorized subnets
3. Monitor for unexpected device reboots or unresponsiveness
4. Establish automated failover to redundant controllers where available
5. Implement VLAN segmentation for OT networks
DETECTION RULES:
1. Monitor for TCP port 102 connection attempts from unauthorized sources
2. Alert on multiple rapid S7 protocol session initiations followed by disconnects
3. Track device availability and alert on unexpected offline status
4. Log all S7 protocol session state changes
5. Implement Snort/Suricata rules for malformed COTP DR TPDU detection
الإجراءات الفورية:
1. حدد جميع أجهزة SIMATIC المتأثرة في بيئتك باستخدام أرقام الموديل المقدمة
2. عزل الأجهزة المتأثرة عن الشبكات غير الموثوقة؛ تقييد وصول منفذ TCP 102 إلى محطات الهندسة المصرح بها فقط
3. تنفيذ تقسيم الشبكة لمنع الوصول المباشر لبروتوكول S7 من الشبكات الخارجية
4. تفعيل قواعد جدار الحماية لحظر حركة بروتوكول S7 (TCP 102) من المصادر غير المدرجة في القائمة البيضاء
إرشادات التصحيح:
1. تطبيق تصحيحات البائع فوراً لجميع الموديلات المتأثرة
2. اختبار التصحيحات في بيئة غير الإنتاج أولاً
3. جدولة نوافذ الصيانة لتحديثات الأجهزة الإنتاجية
الضوابط البديلة (إذا تأخر التصحيح):
1. نشر قواعد IDS/IPS للكشف عن طلبات قطع الاتصال S7 المشوهة على المنفذ 102
2. تنفيذ قوائم التحكم في الوصول (ACLs) لتقييد بروتوكول S7 على الشبكات الفرعية المصرح بها
3. مراقبة إعادة تشغيل الأجهزة غير المتوقعة أو عدم الاستجابة
4. إنشاء تحويل فشل تلقائي إلى أجهزة تحكم زائدة حيث يكون متاحاً
5. تنفيذ تقسيم VLAN لشبكات OT
قواعد الكشف:
1. مراقبة محاولات الاتصال بمنفذ TCP 102 من مصادر غير مصرح بها
2. تنبيه على عمليات بدء جلسة بروتوكول S7 السريعة المتكررة متبوعة بقطع الاتصال
3. تتبع توفر الجهاز والتنبيه على حالة عدم الاتصال غير المتوقعة
4. تسجيل جميع تغييرات حالة جلسة بروتوكول S7
5. تنفيذ قواعد Snort/Suricata للكشف عن COTP DR TPDU المشوهة