Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

18 августа 2015 г.

[уязвимость] Баги в оборудовании Schneider Electric остаются открытыми

Спустя почти две недели с момента их разглашения на DEF CON уязвимости в SCADA-оборудовании Schneider Electric остаются непропатченными.

В конце прошлой недели группа экстренного реагирования на кибератаки против промышленных систем управления (Industrial Control System Cyber Emergency Response Team, ICS-CERT) издала оповещение о ситуации со Schneider Electric. В настоящий момент организация занята анализом патчей совместно с Адитией Судом (Aditya K. Sood), обнародовавшим уязвимости на DEF CON. Суд заявил, что решение об издании предупреждения было принято после его выступления в Лас-Вегасе, во время которого он раскрыл подробности уязвимостей в программном обеспечении интерфейса оператора модуля Modicon M340 PLC Station P34. Интерфейс оператора используется для визуализации автоматизированных процессов и позволяет администраторам управлять инфраструктурой при помощи одного экрана или нескольких экранов.

Уязвимость кроется в модулях, поддерживающих функцию Factory Cast Modbus.

«Предупреждение основано на информации из моего выступления на DEF CON, однако есть высокая вероятность того, что атакующие уже используют эти уязвимости в течение какого-то времени», — заявил Суд.

Он передал в Schneider Electric отчет и PoC-код для двух удаленно доступных уязвимостей и для одного связанного с ними бага, требующего локального эксплойта. Одна из этих уязвимостей — вшитая учетная запись, о которой, по словам представителей ICS-CERT, им было известно еще до выступления Суда. Суд же заявил, что ему неизвестно, была ли она удалена после обсуждения разработки патча.

Две другие уязвимости, удаленное (remote file inclusion, RFI) и локальное включение файлов (local file inclusion, LFI), могут быть использованы либо в ходе фишинговых атак с использованием специально созданной URL-ссылки, либо же при наличии у атакующего физического доступа к программному обеспечению.

«Опасность ситуации в том, что злоумышленник может атаковать пользователей или администраторов SCADA-системы при помощи URL-ссылки, которая, будучи кликнута, исполнит код, хранящийся на стороннем домене, — заявил Суд. — Таким же образом и локальный файл может быть скачан при помощи LFI-атаки, однако хочу заметить, что в подобных случаях RFI куда опаснее»

Схожая RFI-уязвимость была обнаружена в веб-интерфейсах Rockwell Automation 1766-L32BWAA/1766-L32BXBA, программируемых логических контроллерах, используемых на многих предприятиях.

«Уязвимости включения файлов достаточно просто пропатчить, но это зависит от ICS-вендоров», — заявил Суд.

Ранее в этом году Rockwell усилила ненадежную защиту паролей в интерфейсе оператора RSView32, в котором для защиты паролей использовался устаревший криптографический алгоритм.

Источник