آسیب پذیری نرم افزار Top Server
بررسی اجمالی آسیبپذیری
محققانی با نام های Adam Crain از شرکت Automatak و Chris Sistrunk از شرکت Mandiant آسیبپذیری resource exhaustion را در برنامه کاربردی Top Server از شرکت Software Toolbox شناسایی کرده است. در همین راستا شرکت Software Toolbox نسخه جدیدی از این محصول را به منظور کاهش آسیبپذیری گزارش شده، ارائه کرده است. این آسیبپذیری قابلیت بهرهبرداری از راه دور را دارد. مهاجمی که بتواند از این آسیبپذیری بهرهبرداری موفق داشته باشد، قادر خواهد بود که نرم افزار اپلیکیشن OPC Server را در سیستم قربانی crash کند. تاثیراتی که این آسیبپذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.
سابقه محصول آسیب پذیر
Software Toolbox یک شرکت آمریکایی می باشد دفتر اولیه آن در ماتیوز بوده است. اپلیکیشن TOP Server در نرم افزار های ارتباطی تجهیزات صنعتی برای ارتباط بین کاربران تجهیزات OPC و embedded، سیستم های یکپارچه و پردازش های اتوماسیون شده OEM استفاده می شود. محصول آسیب پذیر Top Server می باشد. این محصول، یک نرم افزار بر اساس Microsoft Windows بوده و که اتصال به DNP3 چندگانه از جمله HMI، RTU، PLC، سنسور ها و اندازه گیرنده ها را برقرار می کند. بر اساس گزارش شرکت Software Toolbox محصول آسیب پذیر (Top Server) به صورت جهانی در بخش هایی چون شیمیایی، تاسیسات تجاری، زیر ساخت های حساس، انرژی، غذا و کشاورزی، فناوری اطلاعات و سیتسم های آب و فاضلاب مورد استفاده واقع شده است.
محصولات آسیب پذیر
تمامی نسخه های نرم افزار Top Server از شرکت Software Toolbox تا قبل از نسخه 5.16
بهرهبرداری از آسیبپذیری
تشریح آسیبپذیری به شرح زیر می باشد.
UNCONTROLLED RESOURCE CONSUMPTION (RESOURCE EXHAUSTION)
یک تفسیر مبهم از پروتکل DNP3 به مهاجم اجازه می دهد که پاسخ خاصی به تعداد زیادی از ورودی ها به master در برخی اجرائیات بدهد. این موضوع نمی تواند به عنوان یک مشکل جهانی برای کاربران، فروشندگان و دست اندر کاران پروتکل DNP3 باشد، اما می تواند مشکل ساز باشد. شناسه CVE-2014-5425 به این آسیبپذیری اختصاص یافته است. این آسیبپذیری قابلیت بهرهبرداری از راه دور ار داشته و یک مهاجم با سطح توانایی پایین می تواند بهرهبرداری موفق از این آسیبپذیری داشته باشد.
توصیه نامه
به منظور کاهش آسیبپذیری گزارش شده، بهتر است حداقل مقدار تجهیزاتی که از راه دور در حال کار هستند را صفر در نظر نگیریم . حداقل میزان آن را عددی بالاتر از صفر تنظیم کنیم. این به این دلیلی است که زمانی که پیامی با طول داده صفر به master ارسال می شود، دستگاه پردازش خود را متوقف می کند. در همین راستا، بولتنی در مورد پروتکل DNP3 در آدرس زیر ارائه شده است.
https://www.dnp.org/DNP3Downloads/AN2013-004b%20Validation%20of%20Incoming%%20Data.pdf
همچنین شرکت Software Toolbox نیز نسخه بروز رسانی شده ای از محصول آسیب پذیر را در آدرس زیر ارائه کرده و به کاربران محصول آسیب پذیر تاکید کرده است که این نسخه بروز شده را دانلود و نصب کنند.
http://www.toolboxopc.com/html/support.asp
در صورت نیاز به مطالعه توصیه نامه برای مرتفع نمودن مشکلات اینچنینی به لینک زیر مراجعن کنید.
#آسیبپذیری #top_server
@ICSdefender
بدافزار ODINI دور زدن محیطهای Air-Gap و قفس فارادی از طریق زمینههای مغناطیسی
برخی از رایانهها و یا سیستمها و یا سرورهای بخصوص بدلیل داشتن اطلاعات و دادههای حساس در محیطهای Air-Gap و یا در قفس فارادی نگهداری میشوند. محیطهای Air-Gap ارتباط دستگاه مذکور را با دنیای بیرون از نظر منطقی و فیزیکی از بین میبرد و البته قفس فارادی پا را فراتر گذاشته و امکان نشت سیگنالهای الکترومغناطیسی ناشی از قطعات مختلف کامپیوتر را نیز غیر ممکن میکند. میتوان گفت استفاده از محیط Air-Gap به همراه قفس فارادی یک سپر امنیتی مناسب را برای سیستم ایجاد میکند.
برای نشت اطلاعات از کامپیوترهای بسیار امن که بوسیله محیط Air-Gap به همراه قفس فارادی پوشش داده شدند، بهرهبرداری از میدان مغناطیسی ایجاد شده توسط CPU بر خلاف روشهای گذشته یعنی تابش الکترومغناطیس میباشد. از آنجا که CPU یک بخش ضروری از هر رایانه است، این کانال پنهان تقریبا هر وسیله ای را که با پردازنده مربوط می شود مانند: رایانه های رومیزی، سرورها، لپ تاپ ها، سیستم های جاسازی شده و اینترنت اشیاء (IoT) را پوشش میدهد. این روش یک بدافزار به نام ODINI را معرفی میکند که میتواند میدانهای مغناطیسی با فرکانس پایین که از خود سیستم آلوده توسط تنظیم کننده بار هسته CPU کنترل می شود، کنترل کند. دادههای دلخواه را میتوان از طریق انتشار مغناطیسی پردازنده و دریافت آنها توسط یک گیرنده مغناطیسی (bug) که در نزدیکی قرار گرفته است انتقال داد. همچنین در این روش نشان داده شده است که کد مخرب نیازمندی های خاصی (root) ندارد و می تواند از داخل ماشین مجازی (VM) نیز کارایی داشته باشد. در صورتی که نیازمند مطالعه بیشتر در این زمینه هستید میتوانید با مراجعه به لینک زیر ویدیوی مربوطه را مشاهده کنید و سند آن را نیز دانلود کنید.
#vulnerability #ODINI #Air_Gap
@ICSdefender
سخنرانی دکتر Marlene Ladendorff در کنفرانس امنیت سیستمهای کنترل صنعتی سنگاپور در رابطه با امنیت سایبری در راکتورهای هستهای.
#ICSCCS18
@ICSdefender
به گفته Richard Bussiere از شرکت Tenable Security بررسی دیداری یا بازرسی حضوری، اولین مسئله ای است که متخصصین ICS Security، برای امنسازی زیرساختهای صنعتی به آن احتیاج دارند.
#ICSCCS18 #ICS_Security
@ICSdefender
finally, after a heart surgery & recovering period; mehrsam come back to home.
thanks for praying
@ICSdefender
نفوذ به محیط Air-Gap بوسیله بدافزار GSMem
نفوذ به شبکههای Air-Gap که از شبکههای عمومی جدا شدهاند و با آنها هیچ ارتباط منطقی و فیزیکی ندارند هنوز چالشهای زیادی را در بین متخصصین و صاحبنظران ایجاد کرده است. در این روش سیستمی که در محیط Air-Gap قرار دارد مطمئنا نرمافزارهایی را در سیستمعامل خود دارد که با آلوده کردن این نرمافزارها به بدافزار GSMem میتوان دادهها را از طریق سیگنالهای الکترومغناطیسی در فرکانسهای سلولی رسانههای متصل به سیستم به یک تلفن همراه ارسال نمود.
بخشی از بدافزار مذکور در سیستم هدف و بخشی دیگر در سیستم مبدا پیادهسازی میشود تا از طریق آن بتوان ارتباطی تک سویه را بین این دو بوجود آورد. اگر گیرنده یک موبایل معمولی باشد فاصلهای بین یک مترونیم تا پنج متر را پوشش میدهد که با اتصال گیرنده اختصاصی میتوان فاصله نقل و انتقال داده را تا 30 متر نیز افزایش داد. در صورت نیاز به جزئیات بیشتر میتوانید فیلم و سند مربوطه را در لینک بعدی مشاهده و دانلود کنید.
#Air_Gap
#ICS_Attack
#GSMem
@ICSdefender
در صورت نیاز به جزئیات بیشتر میتوانید فیلم این حمله و سند مربوطه را در لینک زیر مشاهده و یا دانلود کنید.
http://www.icsdefender.ir/detail.html?i=bU53VVBSWWxkWDA9
#Air_gap
#GSMem
@ICSdefender
روش Funthenna (رادیویی و امواج الکترومغناطیس) برای نفوذ به شبکه Air-Gap
در این روش نیز از امواج رادیویی و الکترومغناطیس موجود در تمامی تجهیزاتی که کمی پیشرفته هستند میتوان استفاده کرد. به عنوان مثال، میتوان از ماژولهای داخلی که برای تامین انرژی قطعات روی برد یک PLC، پرینتر لیزری و یا یک کامپیوتر رومیزی و یا هرچیز دیگری استفاده نمود و با آلوده کردن آن توسط بدافزار بازه امواج را تغییر داد و با تقویت آنها دادههای مورد نظر را برای یک گیرنده خارج از محیط Air-Gap ارسال نمود. در واقع این روش به دلیل امکان استفاده از بسیاری از تجهیزات برای انتقال دادهها کاربرد خوبی میتواند داشته باشد.
برای دانلود سند تشریح این روش به لینک زیر مراجعه کنید:http://www.icsdefender.ir/detail.html?i=eHJ5OEthUWRnWGM9
#Funthenna
#Air_Gap
#ICS_Attack
@ICSdefender
سیستم های کنترل صنعتی و اسکادا - تست نفوذ PLC - بخش 1
http://www.aparat.com/v/HSXB0
@ICSdefender
نگرانی آمریکا از حملات سایبری ایران بعد از خروج از برجام:
در روز سه شنبه، دونالد ترامپ، رئیس جمهور آمریکا، اعلام کرد که ایالات متحده از معاهده هسته ای ایران خارج خواهد شد و همچنین قول داده است تحریم های اقتصادی علیه ایران در جهت محدود کردن برنامه هسته ای ایران را باشدت بیشتری ادامه دهد.
محققان می گویند که بر اساس فعالیت های سایبری گذشته ایران، پیش بینی می شود که حمله سایبری گسترده ای از جانب ایران به احتمال زیاد وجود داشته باشد.
پریسیلا موریوچی، تحلیلگر پیشین NSA، در حال حاضر می گوید: "ما در ماههای گذشته به بررسی این موضوع می پردازیم که شرکت های آمریکایی در بخش های مالی، زیرساخت های حیاتی، بخش های نفت و انرژی، احتمالا از سوی نیروهای حمایت شده از سوی دولت ایران با حملات سایبری مخرب مواجه خواهند شد.
#Cyber_Attack
#Nuclear
@ICSdefender