آسیب پذیری تجهیزات صنعتی شرکت Rockwell
بررسی اجمالی آسیبپذیری
محققی به نام Ivan Sanchez از شرکت NullCode و Evilcode Team آسیبپذیری چندگانه DLL Hijacking را در اجزای نرم افزاری که شامل محصول FactoryTalk View Studio از شرکت Rockwell Automation شناسایی کرده است. در همین راستا شرکت Rockwell Automation فایل بروز رسانی شدهای را به منظور کاهش آسیبپذیری ارائه کرده است. بهرهبرداری موفق از آسیبپذیریهای DLL Hijack به مهاجم اجازه می دهد که دسترسی سطح privilege را از سیستم بگیرد. تاثیراتی که این آسیبپذیری برای سازمانها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.
سابقه محصول آسیب پذیر
Automation یک شرکت آمریکایی می باشد که محصولات اطلاعاتی و کنترلی صنعتی تولید می کند. این محصول طیف وسیعی از محصولات صنعتی را شامل می شود. محصول آسیب پذیر FactoryTalk Services Platform و FactoryTalk View Studio می باشد. این محصولات در طیف وسیعی از محصولات کنترلی و اپراتوری صنعتی مورد استفاده واقع شده است. بر اسا گزارش شرکت Rockwell Automation این محصول در حوزههای نظیر شیمیایی، تاسیسات تجاری، زیر ساختهای حیاتی، انرژی، تاسیات تجاری، سیستمهای آب و فاضلاب و ... مورد استفاده واقع شده است . این محصولات به صورت جهانی مورد استفاده واقع شده است.
محصولات آسیب پذیر
۱) تمامی نسخههای FactoryTalk Services Platform تا قبل از نسخه 2.71.00
۲) تمامی نسخههای FactoryTalk View Studio تا قبل از نسخه 8.00.00
بهرهبرداری از آسیبپذیری
تشریح آسیبپذیری به شرح زیر می باشد.
UNCONTROLLED SEARCH PATH ELEMENT
بهره برداری موفق از این آسیبپذیری نیازمند این است که یک کاربر محلی (local) DLL ایجاد شده (دستکاری شده) را بر روی سیستم (ماشین) قربانی بارگزاری کند. اپلیکیشن View Studio Clean Utility ، DLL را بارگزاری کرده و همان دسترسی که در سطح privilege را دارد، به مهاجم می دهد. شناسه CVE-2014-9209 به این آسیبپذیری اختصاص یافته است. بهره برداری از این آسیبپذیری دشوار می باشد؛ به طوری که نیازمند مهندسی اجتماعی بوده که بتوان کاربر سیستم را راضی به اجرای فایل مخرب تنظیمات کرد. مضافا باید با کاربر تعامل کرد که DLL مخرب را نیز بارگذاری کند. این رویه موجب می شود که بهره برداری موفق احتمال کمتری به وقوع بپیوندد.
توصیه نامه
در راستای کاهش آسیبپذیری شناسایی شده، شرکت Rockwell Automation نسخههای بروز رسانی شده ای را در اختیار کاربران خود (در آدرسهای زیر) قرار داده است. ضمنا این شرکت به کاربران خود توصیه کرده است که از آدرسهای بهره برداری کرده و فایلهای بروز رسانی شده را در سیستمهای خود نصب کنند.
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/646323
در ادامه به منظور بهبود امنیت سایبری در سیستمهای کنترل صنعتی، پیشنهاد میشود که اقدامات زیر انجام شود:
۱. بازرسی امنیت فیزیکی، پیرامونی و محیطی
۲. ارزیابی سیاستهای امنیتی اعمال شده که باعث میشود آسیبپذیریهای بالقوه کاهش پیدا کند
۳. تستنفوذ زیرساخت کنترل صنعتی
۴. وصله کردن آسیبپذیریها با توجه به گزارشهای تولید شده در سه بخش قبل
۵. امنسازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق
۶. استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی
۷. استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode
۸. پیادهسازی مرکز عملیات امنیت صنعتی/سایبری
۹. زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)
این مطلب را میتوانید در سایت ما با آدرس زیر مطالعه کنید:
#vulnerability #Rockwell
@ICSdefender