Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

16 августа 2016 г.

Производитель уязвимых ПЛК MicroLogix 1400 рассказал, как обезопасить устройства до выхода обновления

В зависимости от функций ПЛК последствия атаки с эксплуатацией уязвимости могут быть катастрофическими.

Как ранее сообщал SecurityLab, исследователи из Cisco Talos обнаружили серьезную уязвимость в программируемых логических контроллерах (ПЛК) MicroLogix 1400 производства американской компании Rockwell Automation. Уязвимость CVE-2016-5645 затрагивает SNMP-протокол и позволяет злоумышленникам удаленно получить полный контроль над системой MicroLogix 400, модифицировать прошивку устройства и запустить вредоносный код.  

ПЛК MicroLogix 1400 широко применяются в автоматизированных системах управления, начиная с основного промышленного оборудования и систем отопления/кондиционирования воздуха и заканчивая SCADA. «Уязвимость существует из-за недокументированной общей строки в SNMP, позволяющей атакующему получить полный контроль над уязвимыми устройствами, изменять настройки конфигурации, заменять прошивку устройств вредоносным кодом и еще каким-либо образом вмешиваться в их работу», - сообщается в уведомлении Cisco Talos.

В зависимости от функций, выполняемых ПЛК в процессе управления производством, последствия атаки с эксплуатацией данной уязвимости могут быть катастрофическими. Пользователям рекомендуется предпринять ряд мер для предотвращения возможных кибератак с эксплуатацией данной уязвимости:

  • Использовать настройку «RUN» переключателя ПЛК для предотвращения установки неавторизованных и нежелательных обновлений прошивки;

  • Использовать соответствующие решения для управления сетевой инфраструктурой, такие как межсетевые экраны, блокирующие SNMP-запросы от неавторизованных источников;

  • Отключить активированный в MicroLogix 1400 по умолчанию сервис SNMP (для получения обновлений прошивки его необходимо снова включить). Стоит обратить внимание на то, что изменение общей строки не является эффективным способом защиты от возможных атак;

  • Заблокировать доступ к АСУ через интернет;

  • Изолировать сети АСУ от корпоративных сетей и использовать для их защиты межсетевые экраны;

  • Если есть необходимость в удаленном доступе, следует использовать виртуальные частные сети (VPN). Однако необходимо учитывать, что они содержат множество уязвимостей и нуждаются в регулярном обновлении.  


Источник: Securitylab.ru