آسیب پذیری تجهیزات صنعتی شرکت Rockwell بررسی اجمالی آسیب‌پذیری محققی به نام Ivan Sanchez از شرکت NullCode و Evilcode Team آسیب‌پذیری چندگانه DLL Hijacking را در اجزای نرم افزاری که شامل محصول FactoryTalk View Studio از شرکت Rockwell Automation شناسایی کرده است. در همین راستا شرکت Rockwell Automation فایل بروز رسانی شده‌ای را به منظور کاهش آسیب‌پذیری ارائه کرده است. بهره‌برداری موفق از آسیب‌پذیری‌های DLL Hijack به مهاجم اجازه می دهد که دسترسی سطح privilege را از سیستم بگیرد. تاثیراتی که این آسیب‌پذیری برای سازمان‌ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد. سابقه محصول آسیب پذیر Automation یک شرکت آمریکایی می باشد که محصولات اطلاعاتی و کنترلی صنعتی تولید می کند. این محصول طیف وسیعی از محصولات صنعتی را شامل می شود. محصول آسیب پذیر FactoryTalk Services Platform و FactoryTalk View Studio می باشد. این محصولات در طیف وسیعی از محصولات کنترلی و اپراتوری صنعتی مورد استفاده واقع شده است. بر اسا گزارش شرکت Rockwell Automation این محصول در حوزه‌های نظیر شیمیایی، تاسیسات تجاری، زیر ساخت‌های حیاتی، انرژی، تاسیات تجاری، سیستم‌های آب و فاضلاب و ... مورد استفاده واقع شده است . این محصولات به صورت جهانی مورد استفاده واقع شده است. محصولات آسیب پذیر ۱) تمامی نسخه‌های FactoryTalk Services Platform تا قبل از نسخه 2.71.00 ۲) تمامی نسخه‌های FactoryTalk View Studio تا قبل از نسخه 8.00.00 بهره‌برداری از آسیب‌پذیری تشریح آسیب‌پذیری به شرح زیر می باشد. UNCONTROLLED SEARCH PATH ELEMENT بهره برداری موفق از این آسیب‌پذیری نیازمند این است که یک کاربر محلی (local) DLL ایجاد شده (دستکاری شده) را بر روی سیستم (ماشین) قربانی بارگزاری کند. اپلیکیشن View Studio Clean Utility ، DLL را بارگزاری کرده و همان دسترسی که در سطح privilege را دارد، به مهاجم می دهد. شناسه CVE-2014-9209 به این آسیب‌پذیری اختصاص یافته است. بهره برداری از این آسیب‌پذیری دشوار می باشد؛ به طوری که نیازمند مهندسی اجتماعی بوده که بتوان کاربر سیستم را راضی به اجرای فایل مخرب تنظیمات کرد. مضافا باید با کاربر تعامل کرد که DLL مخرب را نیز بارگذاری کند. این رویه موجب می شود که بهره برداری موفق احتمال کمتری به وقوع بپیوندد. توصیه نامه در راستای کاهش آسیب‌پذیری شناسایی شده، شرکت Rockwell Automation نسخه‌های بروز رسانی شده ای را در اختیار کاربران خود (در آدرس‌های زیر) قرار داده است. ضمنا این شرکت به کاربران خود توصیه کرده است که از آدرس‌های بهره برداری کرده و فایل‌های بروز رسانی شده را در سیستم‌های خود نصب کنند. https://rockwellautomation.custhelp.com/app/answers/detail/a_id/646323 در ادامه به منظور بهبود امنیت سایبری در سیستم‌های کنترل صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود: ۱. بازرسی امنیت فیزیکی، پیرامونی و محیطی ۲. ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند ۳. تست‌نفوذ زیرساخت کنترل صنعتی ۴. وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل  ۵. امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق ۶. استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی ۷. استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode ۸. پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری ۹. زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند) این مطلب را می‌توانید در سایت ما با آدرس زیر مطالعه کنید: #vulnerability #Rockwell @ICSdefender

http://www.icsdefender.ir/detail.html?i=V253bDMvd2FDSG89 #vulnerability #Rockwell #ICS_Security @Icsdefender

با سلام و عرض ارادت، با توجه به پیامهایی که بعضا برای بنده ارسال می‌شود، مبنی بر به اشتراک گذاشتن مطالب در شبکه‌های اجتماعی بومی، بنده تصمیم به ایجاد کانال در سایر شبکه‌های اجتماعی کردم. حال دوستانی که علاقمند هستند در سایر شبکه‌های اجتماعی با ما همراه باشند، با توجه به رویکرد خود می‌توانند از طریق شبکه‌های اجتماعی که در زیر آورده شده است ما را همراهی کنند. کانال سروش http://sapp.ir/ICSdefender کانال آی گپ http://igap.net/icsdefender کانال بیسفون http://bpn.im/icsdefender کانال گپ https://gap.im/icsdefender کانال آپارات http://www.aparat.com/icsdefender توییتر http://twitter.com/ICS_defender لینکدین http://www.linkedin.com/in/icsdefender اینستاگرام http://www.instagram.com/icsdefender ایتا https://eitaa.com/ICSdefender تم تم https://tt.me/ICSdefender

http://www.icsdefender.ir/detail.html?i=Tml1UEJjQ3VkTDQ9 همانطور که مستحضرید زیرساخت‌های حساس و حیاتی عملیاتی که عموما صنعتی هستند، امروزه از تجهیزات سایبری برای کاهش هزینه نظارت در فرآیندهای صنعتی خود استفاده می‌کنند که این امر باعث رخنه آسیب‌پذیری‌های شبکه‌های سایبری به زیرساخت‌های صنعتی می‌شود. اما مسئله مهم این است که مخاطرات مذکور تاثیر مستقیم بر سیستم‌های صنعتی وارد می‌کنند که این مهم به خودی خود ممکن است صدمات جبران‌ناپذیری را وارد نماید. این ویدیو که شرکت SANS آن را تهیه کرده است، آناتومی یک حمله سایبری به زیرساخت‌های صنعنی را به نمایش می‌گذارد. برای مشاهده لطفا بر روی لینک بالا کلیک کنید. #SANS #Cyber_Attack #ICS_Security #Video @ICSdefender

آسیب پذیری نرم افزار Top Server بررسی اجمالی آسیب‌پذیری محققانی با نام های Adam Crain از شرکت Automatak و Chris Sistrunk از شرکت Mandiant آسیب‌پذیری resource exhaustion را در برنامه کاربردی Top Server از شرکت Software Toolbox شناسایی کرده است. در همین راستا شرکت Software Toolbox نسخه جدیدی از این محصول را به منظور کاهش آسیب‌پذیری گزارش شده، ارائه کرده است. این آسیب‌پذیری قابلیت بهره‌برداری از راه دور را دارد. مهاجمی که بتواند از این آسیب‌پذیری بهره‌برداری موفق داشته باشد، قادر خواهد بود که نرم افزار اپلیکیشن OPC Server را در سیستم قربانی crash کند. تاثیراتی که این آسیب‌پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد. سابقه محصول آسیب پذیر Software Toolbox یک شرکت آمریکایی می باشد دفتر اولیه آن در ماتیوز بوده است. اپلیکیشن TOP Server در نرم افزار های ارتباطی تجهیزات صنعتی برای ارتباط بین کاربران تجهیزات OPC و embedded، سیستم های یکپارچه و پردازش های اتوماسیون شده OEM استفاده می شود. محصول آسیب پذیر Top Server می باشد. این محصول، یک نرم افزار بر اساس Microsoft Windows بوده و که اتصال به DNP3 چندگانه از جمله HMI، RTU، PLC، سنسور ها و اندازه گیرنده ها را برقرار می کند. بر اساس گزارش شرکت Software Toolbox محصول آسیب پذیر (Top Server) به صورت جهانی در بخش هایی چون شیمیایی، تاسیسات تجاری، زیر ساخت های حساس، انرژی، غذا و کشاورزی، فناوری اطلاعات و سیتسم های آب و فاضلاب مورد استفاده واقع شده است. محصولات آسیب پذیر تمامی نسخه های نرم افزار Top Server از شرکت Software Toolbox تا قبل از نسخه 5.16 بهره‌برداری از آسیب‌پذیری تشریح آسیب‌پذیری به شرح زیر می باشد. UNCONTROLLED RESOURCE CONSUMPTION (RESOURCE EXHAUSTION) یک تفسیر مبهم از پروتکل DNP3 به مهاجم اجازه می دهد که پاسخ خاصی به تعداد زیادی از ورودی ها به master در برخی اجرائیات بدهد. این موضوع نمی تواند به عنوان یک مشکل جهانی برای کاربران، فروشندگان و دست اندر کاران پروتکل DNP3 باشد، اما می تواند مشکل ساز باشد. شناسه CVE-2014-5425 به این آسیب‌پذیری اختصاص یافته است. این آسیب‌پذیری قابلیت بهره‌برداری از راه دور ار داشته و یک مهاجم با سطح توانایی پایین می تواند بهره‌برداری موفق از این آسیب‌پذیری داشته باشد. توصیه نامه به منظور کاهش آسیب‌پذیری گزارش شده، بهتر است حداقل مقدار تجهیزاتی که از راه دور در حال کار هستند را صفر در نظر نگیریم . حداقل میزان آن را عددی بالاتر از صفر تنظیم کنیم. این به این دلیلی است که زمانی که پیامی با طول داده صفر به master ارسال می شود، دستگاه پردازش خود را متوقف می کند. در همین راستا، بولتنی در مورد پروتکل DNP3 در آدرس زیر ارائه شده است. https://www.dnp.org/DNP3Downloads/AN2013-004b%20Validation%20of%20Incoming%%20Data.pdf همچنین شرکت Software Toolbox نیز نسخه بروز رسانی شده ای از محصول آسیب پذیر را در آدرس زیر ارائه کرده و به کاربران محصول آسیب پذیر تاکید کرده است که این نسخه بروز شده را دانلود و نصب کنند. http://www.toolboxopc.com/html/support.asp  در صورت نیاز به مطالعه توصیه نامه برای مرتفع نمودن مشکلات اینچنینی به لینک زیر مراجعن کنید. #آسیب‌پذیری‌ #top_server @ICSdefender

http://www.icsdefender.ir/detail.html?i=cC9wQ2YwLzhUM2M9 #Vulnerability #Top_server

بدافزار ODINI دور زدن محیط‌های Air-Gap و قفس فارادی از طریق زمینه‌های مغناطیسی برخی از رایانه‌ها و یا سیستم‌ها و یا سرور‌های بخصوص بدلیل داشتن اطلاعات و داده‌های حساس در محیط‌های Air-Gap و یا در قفس فارادی نگهداری می‌شوند. محیط‌های Air-Gap ارتباط دستگاه مذکور را با دنیای بیرون از نظر منطقی و فیزیکی از بین می‌برد و البته قفس فارادی پا را فراتر گذاشته و امکان نشت سیگنال‌های الکترومغناطیسی ناشی از قطعات مختلف کامپیوتر را نیز غیر ممکن می‌کند. می‌توان گفت استفاده از محیط Air-Gap به همراه قفس فارادی یک سپر امنیتی مناسب را برای سیستم ایجاد می‌کند. برای نشت اطلاعات از کامپیوترهای بسیار امن که بوسیله محیط Air-Gap به همراه قفس فارادی پوشش داده شدند، بهره‌برداری از میدان مغناطیسی ایجاد شده توسط CPU بر خلاف روش‌های گذشته یعنی تابش الکترومغناطیس می‌باشد. از آنجا که CPU یک بخش ضروری از هر رایانه است، این کانال پنهان تقریبا هر وسیله ای را که با پردازنده مربوط می شود مانند: رایانه های رومیزی، سرورها، لپ تاپ ها، سیستم های جاسازی شده و اینترنت اشیاء (IoT) را پوشش می‌دهد. این روش یک بدافزار به نام ODINI را معرفی می‌کند که می‌تواند میدان‌های مغناطیسی با فرکانس پایین که از خود سیستم آلوده توسط تنظیم کننده بار هسته CPU کنترل می شود، کنترل کند. داده‌های دلخواه را می‌توان از طریق انتشار مغناطیسی پردازنده و دریافت آن‌ها توسط یک گیرنده مغناطیسی (bug) که در نزدیکی قرار گرفته است انتقال داد. همچنین در این روش نشان داده شده است که کد مخرب نیازمندی های خاصی (root) ندارد و می تواند از داخل ماشین مجازی (VM) نیز کارایی داشته باشد. در صورتی که نیازمند مطالعه بیشتر در این زمینه هستید می‌توانید با مراجعه به لینک زیر ویدیوی مربوطه را مشاهده کنید و سند آن را نیز دانلود کنید. #vulnerability #ODINI #Air_Gap @ICSdefender

سخنرانی دکتر Marlene Ladendorff در کنفرانس امنیت سیستم‌های کنترل صنعتی سنگاپور در رابطه با امنیت سایبری در راکتورهای هسته‌ای. #ICSCCS18 @ICSdefender

به گفته Richard Bussiere از شرکت Tenable Security بررسی دیداری یا بازرسی حضوری، اولین مسئله ای است که متخصصین ICS Security، برای امن‌سازی زیرساخت‌های صنعتی به آن احتیاج دارند. #ICSCCS18 #ICS_Security @ICSdefender

finally, after a heart surgery & recovering period; mehrsam come back to home. thanks for praying @ICSdefender

نفوذ به محیط Air-Gap بوسیله بدافزار GSMem نفوذ به شبکه‌های Air-Gap که از شبکه‌های عمومی جدا شده‌اند و با آن‌ها هیچ ارتباط منطقی و فیزیکی ندارند هنوز چالش‌های زیادی را در بین متخصصین و صاحب‌نظران ایجاد کرده است. در این روش سیستمی که در محیط Air-Gap قرار دارد مطمئنا نرم‌افزارهایی را در سیستم‌عامل خود دارد که با آلوده کردن این نرم‌افزارها به بدافزار GSMem می‌توان داده‌ها را از طریق سیگنال‌های الکترومغناطیسی در فرکانس‌های سلولی رسانه‌های متصل به سیستم به یک تلفن همراه ارسال نمود.  بخشی از بدافزار مذکور در سیستم هدف و بخشی دیگر در سیستم مبدا پیاده‌سازی می‌شود تا از طریق آن بتوان ارتباطی تک سویه را بین این دو بوجود آورد. اگر گیرنده یک موبایل معمولی باشد فاصله‌ای بین یک مترونیم تا پنج متر را پوشش می‌دهد که با اتصال گیرنده اختصاصی می‌توان فاصله نقل و انتقال داده را تا 30 متر نیز افزایش داد. در صورت نیاز به جزئیات بیشتر می‌توانید فیلم و سند مربوطه را در لینک بعدی مشاهده و دانلود کنید. #Air_Gap #ICS_Attack #GSMem @ICSdefender

در صورت نیاز به جزئیات بیشتر می‌توانید فیلم این حمله و سند مربوطه را در لینک زیر مشاهده و یا دانلود کنید. http://www.icsdefender.ir/detail.html?i=bU53VVBSWWxkWDA9 #Air_gap #GSMem @ICSdefender