Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

2 ноября 2016 г.

В среде разработки Schneider найдена серьезная брешь

Schneider Electric пропатчила критическую уязвимость в Unity Pro — флагманском продукте компании, обеспечивающем единую среду для программирования промышленных контроллеров. Обнаружившие брешь эксперты ИБ-компании Indegy предупреждают, что она открывает возможность для удаленного исполнения кода в производственных сетях с автоматизированным управлением.

Представляя неприятную находку в блоге, исполнительный директор Indegy Милле Гандельсман (Mille Gandelsman) подчеркнул, что это «серьезная проблема», и призвал пользователей Unity Pro обновить систему до новейшей версии. Unity Pro предназначена для работы на компьютерах Windows и используется для управления миллионами контроллеров по всему миру.

«Если IP-адрес ПК Windows, на котором установлено ПО Unity Pro, доступен из Интернета, кто угодно может воспользоваться уязвимостью и запустить код на аппаратуре, — пояснил Гандельсман журналистам Threatpost. — Такой доступ представляет большую ценность для атакующих, ибо они смогут делать с контроллерами все, что пожелают».

Уязвимость кроется в компоненте Unity Pro, называемом Unity Pro PLC Simulator, — программе моделирования ПЛК, используемой для тестирования таких продуктов. «Это заветная цель для злоумышленника, так как он сможет влиять на производственный процесс в реальном, физическом АСУ ТП-окружении, — комментирует Гандельсман, — в том числе на работу клапанов, турбин, центрифуг и интеллектуальных счетчиков. Используя подобный доступ, атакующий сможет изменить состав лекарственных препаратов, изготавливаемых автоматизированными средствами, или отключить городскую электросеть».

Выступая на конференции по кибербезопасности АСУ ТП, состоявшейся на прошлой неделе в Атланте, штат Джорджия, Гандельсман рассказал, что данная уязвимость была обнаружена полгода назад и Schneider Electric была тогда же поставлена в известность. За истекший период разработчик подготовил и выпустил патч. В соответствующей нотификации для пользователей сказано: «Данная уязвимость позволяет выполнить произвольный код посредством удаленной загрузки пропатченного проектного файла на Unity Simulator».

Согласно Indegy, эта брешь возникла из-за того, что «Unity Pro позволяет любому пользователю удаленно выполнить код непосредственно на компьютере с установленным продуктом (Unity Pro), причем с правами отладчика». Компрометация отдельных участников сети при этом не составит труда, так как промышленные контроллеры не используют аутентификацию, а протоколы передачи данных в таких сетях не предусматривают шифрование. «Независимо от используемых приложений контроля и управления/сбора данных при наличии контроллеров от Schneider Electric этот софт будет использоваться на инженерных АРМ, поэтому атака возможна практически на любой процесс, контролируемый этими ПЛК», — констатируют исследователи.

Согласно Schneider Electric, уязвимость проявляется в ходе компиляции Unity-проекта в виде набора инструкций x86 и загрузки его на имитатор ПЛК. «Существует возможность заставить систему моделирования исполнить вредоносный код посредством перенаправления потоков управления: внедрением шелл-кода в свободную область проекта Unity Pro, загрузкой патченого проекта на имитатор и его исполнением».

Исследователи предупреждают, что баг присутствует во всех версиях единой инструментальной системы. Schneider Electric со своей стороны отметила, что новейшая версия, Unity Pro 11.1, данной уязвимости не подвержена.

На вопрос, эксплуатируется ли данная уязвимость itw, Гандельсман ответил так: «Я не в состоянии дать ответ. Вот уязвимость, которую мы обнаружили. Это все, что я могу сказать». «Это большая проблема, хуже некуда», — добавил он. Schneider Electric на запросы Threatpost о комментарии не ответила.

В прошлом году Группа экстренного реагирования на киберинциденты в АСУ ТП (ICS-CERT) опубликовала предупреждение об уязвимостях в модулях производства Schneider Electric, поддерживающих функцию Factory Cast Modbus. Несколько ранее в системе аутентификации HMI-продуктов этой компании были обнаружены баги, позволяющие исполнить произвольный код. Месяц назад ICS-CERT выпустила годовой отчет, свидетельствующий о том, что в системах АСУ ТП по-прежнему содержится огромное количество уязвимостей, в основном связанных с нарушением прав доступа, низким качеством программного кода, а также со слабой криптозащитой сети и коммуникаций.


Источник: Threatpost | Новости ИБ