آسیب پذیری تجهیزات صنعتی شرکت Rockwell بررسی اجمالی آسیب‌پذیری محققی به نام Ivan Sanchez از شرکت NullCode و Evilcode Team آسیب‌پذیری چندگانه DLL Hijacking را در اجزای نرم افزاری که شامل محصول FactoryTalk View Studio از شرکت Rockwell Automation شناسایی کرده است. در همین راستا شرکت Rockwell Automation فایل بروز رسانی شده‌ای را به منظور کاهش آسیب‌پذیری ارائه کرده است. بهره‌برداری موفق از آسیب‌پذیری‌های DLL Hijack به مهاجم اجازه می دهد که دسترسی سطح privilege را از سیستم بگیرد. تاثیراتی که این آسیب‌پذیری برای سازمان‌ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد. سابقه محصول آسیب پذیر Automation یک شرکت آمریکایی می باشد که محصولات اطلاعاتی و کنترلی صنعتی تولید می کند. این محصول طیف وسیعی از محصولات صنعتی را شامل می شود. محصول آسیب پذیر FactoryTalk Services Platform و FactoryTalk View Studio می باشد. این محصولات در طیف وسیعی از محصولات کنترلی و اپراتوری صنعتی مورد استفاده واقع شده است. بر اسا گزارش شرکت Rockwell Automation این محصول در حوزه‌های نظیر شیمیایی، تاسیسات تجاری، زیر ساخت‌های حیاتی، انرژی، تاسیات تجاری، سیستم‌های آب و فاضلاب و ... مورد استفاده واقع شده است . این محصولات به صورت جهانی مورد استفاده واقع شده است. محصولات آسیب پذیر ۱) تمامی نسخه‌های FactoryTalk Services Platform تا قبل از نسخه 2.71.00 ۲) تمامی نسخه‌های FactoryTalk View Studio تا قبل از نسخه 8.00.00 بهره‌برداری از آسیب‌پذیری تشریح آسیب‌پذیری به شرح زیر می باشد. UNCONTROLLED SEARCH PATH ELEMENT بهره برداری موفق از این آسیب‌پذیری نیازمند این است که یک کاربر محلی (local) DLL ایجاد شده (دستکاری شده) را بر روی سیستم (ماشین) قربانی بارگزاری کند. اپلیکیشن View Studio Clean Utility ، DLL را بارگزاری کرده و همان دسترسی که در سطح privilege را دارد، به مهاجم می دهد. شناسه CVE-2014-9209 به این آسیب‌پذیری اختصاص یافته است. بهره برداری از این آسیب‌پذیری دشوار می باشد؛ به طوری که نیازمند مهندسی اجتماعی بوده که بتوان کاربر سیستم را راضی به اجرای فایل مخرب تنظیمات کرد. مضافا باید با کاربر تعامل کرد که DLL مخرب را نیز بارگذاری کند. این رویه موجب می شود که بهره برداری موفق احتمال کمتری به وقوع بپیوندد. توصیه نامه در راستای کاهش آسیب‌پذیری شناسایی شده، شرکت Rockwell Automation نسخه‌های بروز رسانی شده ای را در اختیار کاربران خود (در آدرس‌های زیر) قرار داده است. ضمنا این شرکت به کاربران خود توصیه کرده است که از آدرس‌های بهره برداری کرده و فایل‌های بروز رسانی شده را در سیستم‌های خود نصب کنند. https://rockwellautomation.custhelp.com/app/answers/detail/a_id/646323 در ادامه به منظور بهبود امنیت سایبری در سیستم‌های کنترل صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود: ۱. بازرسی امنیت فیزیکی، پیرامونی و محیطی ۲. ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند ۳. تست‌نفوذ زیرساخت کنترل صنعتی ۴. وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل  ۵. امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق ۶. استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی ۷. استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode ۸. پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری ۹. زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند) این مطلب را می‌توانید در سایت ما با آدرس زیر مطالعه کنید: #vulnerability #Rockwell @ICSdefender

http://www.icsdefender.ir/detail.html?i=V253bDMvd2FDSG89 #vulnerability #Rockwell #ICS_Security @Icsdefender

http://www.icsdefender.ir/detail.html?i=cC9wQ2YwLzhUM2M9 #Vulnerability #Top_server

بدافزار ODINI دور زدن محیط‌های Air-Gap و قفس فارادی از طریق زمینه‌های مغناطیسی برخی از رایانه‌ها و یا سیستم‌ها و یا سرور‌های بخصوص بدلیل داشتن اطلاعات و داده‌های حساس در محیط‌های Air-Gap و یا در قفس فارادی نگهداری می‌شوند. محیط‌های Air-Gap ارتباط دستگاه مذکور را با دنیای بیرون از نظر منطقی و فیزیکی از بین می‌برد و البته قفس فارادی پا را فراتر گذاشته و امکان نشت سیگنال‌های الکترومغناطیسی ناشی از قطعات مختلف کامپیوتر را نیز غیر ممکن می‌کند. می‌توان گفت استفاده از محیط Air-Gap به همراه قفس فارادی یک سپر امنیتی مناسب را برای سیستم ایجاد می‌کند. برای نشت اطلاعات از کامپیوترهای بسیار امن که بوسیله محیط Air-Gap به همراه قفس فارادی پوشش داده شدند، بهره‌برداری از میدان مغناطیسی ایجاد شده توسط CPU بر خلاف روش‌های گذشته یعنی تابش الکترومغناطیس می‌باشد. از آنجا که CPU یک بخش ضروری از هر رایانه است، این کانال پنهان تقریبا هر وسیله ای را که با پردازنده مربوط می شود مانند: رایانه های رومیزی، سرورها، لپ تاپ ها، سیستم های جاسازی شده و اینترنت اشیاء (IoT) را پوشش می‌دهد. این روش یک بدافزار به نام ODINI را معرفی می‌کند که می‌تواند میدان‌های مغناطیسی با فرکانس پایین که از خود سیستم آلوده توسط تنظیم کننده بار هسته CPU کنترل می شود، کنترل کند. داده‌های دلخواه را می‌توان از طریق انتشار مغناطیسی پردازنده و دریافت آن‌ها توسط یک گیرنده مغناطیسی (bug) که در نزدیکی قرار گرفته است انتقال داد. همچنین در این روش نشان داده شده است که کد مخرب نیازمندی های خاصی (root) ندارد و می تواند از داخل ماشین مجازی (VM) نیز کارایی داشته باشد. در صورتی که نیازمند مطالعه بیشتر در این زمینه هستید می‌توانید با مراجعه به لینک زیر ویدیوی مربوطه را مشاهده کنید و سند آن را نیز دانلود کنید. #vulnerability #ODINI #Air_Gap @ICSdefender

آسیب پذیری توربین های بادی Xzeres بررسی اجمالی آسیب پذیری سیستم عامل 442SR هر دوی شیوه‌های POST و GET برای ورود داده را پشتیبانی می‌کند. با استفاده از شیوه‌ی GET، مهاجم می‌تواند شناسه‌ی کاربری و گذرواژه‌ی دستگاه را از طریق مرورگر وب به دست آورده و یا گذرواژه‌ی مربوط به شناسه‌ی کاربری پیشفرض را تغییر دهد. شناسه‌ی کاربری پیشفرض این دستگاه، سطح دسترسی مدیریتی دارد. سابقه محصول آسیب پذیر به گفته‌ی این شرکت، توربین مورد نظر «در سراسر بخش انرژی» جهان استفاده شده است. این مدل بخشی از توربین‌های مقیاس کوچک شرکت XZERES است. محصولات آسیب پذیر توربین‌های بادی مدل 442 SR شرکت XZERES بهره برداری از آسیب پذیری سیستم عامل 442SR هر دوی شیوه‌های POST و GET برای ورود داده را پشتیبانی می‌کند. با استفاده از شیوه‌ی GET، مهاجم می‌تواند شناسه‌ی کاربری و گذرواژه‌ی دستگاه را از طریق مرورگر وب به دست آورده و یا گذرواژه‌ی مربوط به شناسه‌ی کاربری پیشفرض را تغییر دهد. شناسه‌ی کاربری پیشفرض این دستگاه، سطح دسترسی مدیریتی دارد. علاوه بر این، ایجاد کد مخرب جهت سوءاستفاده از این آسیب‌‌پذیری ساده است؛ اگرچه کد از پیش آماده‌ای جهت این کار وجود ندارد، اما با اندکی دستکاری در کدهای دیگر، می‌توان از آنها برای اینکار بهره برد.  توصیه نامه در ادامه به منظور برقراری امنیت بیشتر در زیرساخت صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود: ۱. بازرسی امنیت فیزیکی، پیرامونی و محیطی ۲. ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند ۳. تست‌نفوذ زیرساخت کنترل صنعتی ۴. وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل  ۵. امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق ۶. استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی ۷. استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode ۸. پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری ۹. زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند) #Vulnerability #ICS_Security #Industrial_control_system @ICSdefender