آسیب پذیری تجهیزات صنعتی شرکت Rockwell بررسی اجمالی آسیب‌پذیری محققی به نام Ivan Sanchez از شرکت NullCode و Evilcode Team آسیب‌پذیری چندگانه DLL Hijacking را در اجزای نرم افزاری که شامل محصول FactoryTalk View Studio از شرکت Rockwell Automation شناسایی کرده است. در همین راستا شرکت Rockwell Automation فایل بروز رسانی شده‌ای را به منظور کاهش آسیب‌پذیری ارائه کرده است. بهره‌برداری موفق از آسیب‌پذیری‌های DLL Hijack به مهاجم اجازه می دهد که دسترسی سطح privilege را از سیستم بگیرد. تاثیراتی که این آسیب‌پذیری برای سازمان‌ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد. سابقه محصول آسیب پذیر Automation یک شرکت آمریکایی می باشد که محصولات اطلاعاتی و کنترلی صنعتی تولید می کند. این محصول طیف وسیعی از محصولات صنعتی را شامل می شود. محصول آسیب پذیر FactoryTalk Services Platform و FactoryTalk View Studio می باشد. این محصولات در طیف وسیعی از محصولات کنترلی و اپراتوری صنعتی مورد استفاده واقع شده است. بر اسا گزارش شرکت Rockwell Automation این محصول در حوزه‌های نظیر شیمیایی، تاسیسات تجاری، زیر ساخت‌های حیاتی، انرژی، تاسیات تجاری، سیستم‌های آب و فاضلاب و ... مورد استفاده واقع شده است . این محصولات به صورت جهانی مورد استفاده واقع شده است. محصولات آسیب پذیر ۱) تمامی نسخه‌های FactoryTalk Services Platform تا قبل از نسخه 2.71.00 ۲) تمامی نسخه‌های FactoryTalk View Studio تا قبل از نسخه 8.00.00 بهره‌برداری از آسیب‌پذیری تشریح آسیب‌پذیری به شرح زیر می باشد. UNCONTROLLED SEARCH PATH ELEMENT بهره برداری موفق از این آسیب‌پذیری نیازمند این است که یک کاربر محلی (local) DLL ایجاد شده (دستکاری شده) را بر روی سیستم (ماشین) قربانی بارگزاری کند. اپلیکیشن View Studio Clean Utility ، DLL را بارگزاری کرده و همان دسترسی که در سطح privilege را دارد، به مهاجم می دهد. شناسه CVE-2014-9209 به این آسیب‌پذیری اختصاص یافته است. بهره برداری از این آسیب‌پذیری دشوار می باشد؛ به طوری که نیازمند مهندسی اجتماعی بوده که بتوان کاربر سیستم را راضی به اجرای فایل مخرب تنظیمات کرد. مضافا باید با کاربر تعامل کرد که DLL مخرب را نیز بارگذاری کند. این رویه موجب می شود که بهره برداری موفق احتمال کمتری به وقوع بپیوندد. توصیه نامه در راستای کاهش آسیب‌پذیری شناسایی شده، شرکت Rockwell Automation نسخه‌های بروز رسانی شده ای را در اختیار کاربران خود (در آدرس‌های زیر) قرار داده است. ضمنا این شرکت به کاربران خود توصیه کرده است که از آدرس‌های بهره برداری کرده و فایل‌های بروز رسانی شده را در سیستم‌های خود نصب کنند. https://rockwellautomation.custhelp.com/app/answers/detail/a_id/646323 در ادامه به منظور بهبود امنیت سایبری در سیستم‌های کنترل صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود: ۱. بازرسی امنیت فیزیکی، پیرامونی و محیطی ۲. ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند ۳. تست‌نفوذ زیرساخت کنترل صنعتی ۴. وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل  ۵. امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق ۶. استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی ۷. استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode ۸. پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری ۹. زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند) این مطلب را می‌توانید در سایت ما با آدرس زیر مطالعه کنید: #vulnerability #Rockwell @ICSdefender

http://www.icsdefender.ir/detail.html?i=V253bDMvd2FDSG89 #vulnerability #Rockwell #ICS_Security @Icsdefender

با سلام و عرض ارادت، با توجه به پیامهایی که بعضا برای بنده ارسال می‌شود، مبنی بر به اشتراک گذاشتن مطالب در شبکه‌های اجتماعی بومی، بنده تصمیم به ایجاد کانال در سایر شبکه‌های اجتماعی کردم. حال دوستانی که علاقمند هستند در سایر شبکه‌های اجتماعی با ما همراه باشند، با توجه به رویکرد خود می‌توانند از طریق شبکه‌های اجتماعی که در زیر آورده شده است ما را همراهی کنند. کانال سروش http://sapp.ir/ICSdefender کانال آی گپ http://igap.net/icsdefender کانال بیسفون http://bpn.im/icsdefender کانال گپ https://gap.im/icsdefender کانال آپارات http://www.aparat.com/icsdefender توییتر http://twitter.com/ICS_defender لینکدین http://www.linkedin.com/in/icsdefender اینستاگرام http://www.instagram.com/icsdefender ایتا https://eitaa.com/ICSdefender تم تم https://tt.me/ICSdefender

http://www.icsdefender.ir/detail.html?i=Tml1UEJjQ3VkTDQ9 همانطور که مستحضرید زیرساخت‌های حساس و حیاتی عملیاتی که عموما صنعتی هستند، امروزه از تجهیزات سایبری برای کاهش هزینه نظارت در فرآیندهای صنعتی خود استفاده می‌کنند که این امر باعث رخنه آسیب‌پذیری‌های شبکه‌های سایبری به زیرساخت‌های صنعتی می‌شود. اما مسئله مهم این است که مخاطرات مذکور تاثیر مستقیم بر سیستم‌های صنعتی وارد می‌کنند که این مهم به خودی خود ممکن است صدمات جبران‌ناپذیری را وارد نماید. این ویدیو که شرکت SANS آن را تهیه کرده است، آناتومی یک حمله سایبری به زیرساخت‌های صنعنی را به نمایش می‌گذارد. برای مشاهده لطفا بر روی لینک بالا کلیک کنید. #SANS #Cyber_Attack #ICS_Security #Video @ICSdefender

آسیب پذیری نرم افزار Top Server بررسی اجمالی آسیب‌پذیری محققانی با نام های Adam Crain از شرکت Automatak و Chris Sistrunk از شرکت Mandiant آسیب‌پذیری resource exhaustion را در برنامه کاربردی Top Server از شرکت Software Toolbox شناسایی کرده است. در همین راستا شرکت Software Toolbox نسخه جدیدی از این محصول را به منظور کاهش آسیب‌پذیری گزارش شده، ارائه کرده است. این آسیب‌پذیری قابلیت بهره‌برداری از راه دور را دارد. مهاجمی که بتواند از این آسیب‌پذیری بهره‌برداری موفق داشته باشد، قادر خواهد بود که نرم افزار اپلیکیشن OPC Server را در سیستم قربانی crash کند. تاثیراتی که این آسیب‌پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد. سابقه محصول آسیب پذیر Software Toolbox یک شرکت آمریکایی می باشد دفتر اولیه آن در ماتیوز بوده است. اپلیکیشن TOP Server در نرم افزار های ارتباطی تجهیزات صنعتی برای ارتباط بین کاربران تجهیزات OPC و embedded، سیستم های یکپارچه و پردازش های اتوماسیون شده OEM استفاده می شود. محصول آسیب پذیر Top Server می باشد. این محصول، یک نرم افزار بر اساس Microsoft Windows بوده و که اتصال به DNP3 چندگانه از جمله HMI، RTU، PLC، سنسور ها و اندازه گیرنده ها را برقرار می کند. بر اساس گزارش شرکت Software Toolbox محصول آسیب پذیر (Top Server) به صورت جهانی در بخش هایی چون شیمیایی، تاسیسات تجاری، زیر ساخت های حساس، انرژی، غذا و کشاورزی، فناوری اطلاعات و سیتسم های آب و فاضلاب مورد استفاده واقع شده است. محصولات آسیب پذیر تمامی نسخه های نرم افزار Top Server از شرکت Software Toolbox تا قبل از نسخه 5.16 بهره‌برداری از آسیب‌پذیری تشریح آسیب‌پذیری به شرح زیر می باشد. UNCONTROLLED RESOURCE CONSUMPTION (RESOURCE EXHAUSTION) یک تفسیر مبهم از پروتکل DNP3 به مهاجم اجازه می دهد که پاسخ خاصی به تعداد زیادی از ورودی ها به master در برخی اجرائیات بدهد. این موضوع نمی تواند به عنوان یک مشکل جهانی برای کاربران، فروشندگان و دست اندر کاران پروتکل DNP3 باشد، اما می تواند مشکل ساز باشد. شناسه CVE-2014-5425 به این آسیب‌پذیری اختصاص یافته است. این آسیب‌پذیری قابلیت بهره‌برداری از راه دور ار داشته و یک مهاجم با سطح توانایی پایین می تواند بهره‌برداری موفق از این آسیب‌پذیری داشته باشد. توصیه نامه به منظور کاهش آسیب‌پذیری گزارش شده، بهتر است حداقل مقدار تجهیزاتی که از راه دور در حال کار هستند را صفر در نظر نگیریم . حداقل میزان آن را عددی بالاتر از صفر تنظیم کنیم. این به این دلیلی است که زمانی که پیامی با طول داده صفر به master ارسال می شود، دستگاه پردازش خود را متوقف می کند. در همین راستا، بولتنی در مورد پروتکل DNP3 در آدرس زیر ارائه شده است. https://www.dnp.org/DNP3Downloads/AN2013-004b%20Validation%20of%20Incoming%%20Data.pdf همچنین شرکت Software Toolbox نیز نسخه بروز رسانی شده ای از محصول آسیب پذیر را در آدرس زیر ارائه کرده و به کاربران محصول آسیب پذیر تاکید کرده است که این نسخه بروز شده را دانلود و نصب کنند. http://www.toolboxopc.com/html/support.asp  در صورت نیاز به مطالعه توصیه نامه برای مرتفع نمودن مشکلات اینچنینی به لینک زیر مراجعن کنید. #آسیب‌پذیری‌ #top_server @ICSdefender

http://www.icsdefender.ir/detail.html?i=cC9wQ2YwLzhUM2M9 #Vulnerability #Top_server

بدافزار ODINI دور زدن محیط‌های Air-Gap و قفس فارادی از طریق زمینه‌های مغناطیسی برخی از رایانه‌ها و یا سیستم‌ها و یا سرور‌های بخصوص بدلیل داشتن اطلاعات و داده‌های حساس در محیط‌های Air-Gap و یا در قفس فارادی نگهداری می‌شوند. محیط‌های Air-Gap ارتباط دستگاه مذکور را با دنیای بیرون از نظر منطقی و فیزیکی از بین می‌برد و البته قفس فارادی پا را فراتر گذاشته و امکان نشت سیگنال‌های الکترومغناطیسی ناشی از قطعات مختلف کامپیوتر را نیز غیر ممکن می‌کند. می‌توان گفت استفاده از محیط Air-Gap به همراه قفس فارادی یک سپر امنیتی مناسب را برای سیستم ایجاد می‌کند. برای نشت اطلاعات از کامپیوترهای بسیار امن که بوسیله محیط Air-Gap به همراه قفس فارادی پوشش داده شدند، بهره‌برداری از میدان مغناطیسی ایجاد شده توسط CPU بر خلاف روش‌های گذشته یعنی تابش الکترومغناطیس می‌باشد. از آنجا که CPU یک بخش ضروری از هر رایانه است، این کانال پنهان تقریبا هر وسیله ای را که با پردازنده مربوط می شود مانند: رایانه های رومیزی، سرورها، لپ تاپ ها، سیستم های جاسازی شده و اینترنت اشیاء (IoT) را پوشش می‌دهد. این روش یک بدافزار به نام ODINI را معرفی می‌کند که می‌تواند میدان‌های مغناطیسی با فرکانس پایین که از خود سیستم آلوده توسط تنظیم کننده بار هسته CPU کنترل می شود، کنترل کند. داده‌های دلخواه را می‌توان از طریق انتشار مغناطیسی پردازنده و دریافت آن‌ها توسط یک گیرنده مغناطیسی (bug) که در نزدیکی قرار گرفته است انتقال داد. همچنین در این روش نشان داده شده است که کد مخرب نیازمندی های خاصی (root) ندارد و می تواند از داخل ماشین مجازی (VM) نیز کارایی داشته باشد. در صورتی که نیازمند مطالعه بیشتر در این زمینه هستید می‌توانید با مراجعه به لینک زیر ویدیوی مربوطه را مشاهده کنید و سند آن را نیز دانلود کنید. #vulnerability #ODINI #Air_Gap @ICSdefender

سخنرانی دکتر Marlene Ladendorff در کنفرانس امنیت سیستم‌های کنترل صنعتی سنگاپور در رابطه با امنیت سایبری در راکتورهای هسته‌ای. #ICSCCS18 @ICSdefender

به گفته Richard Bussiere از شرکت Tenable Security بررسی دیداری یا بازرسی حضوری، اولین مسئله ای است که متخصصین ICS Security، برای امن‌سازی زیرساخت‌های صنعتی به آن احتیاج دارند. #ICSCCS18 #ICS_Security @ICSdefender

finally, after a heart surgery & recovering period; mehrsam come back to home. thanks for praying @ICSdefender

نفوذ به محیط Air-Gap بوسیله بدافزار GSMem نفوذ به شبکه‌های Air-Gap که از شبکه‌های عمومی جدا شده‌اند و با آن‌ها هیچ ارتباط منطقی و فیزیکی ندارند هنوز چالش‌های زیادی را در بین متخصصین و صاحب‌نظران ایجاد کرده است. در این روش سیستمی که در محیط Air-Gap قرار دارد مطمئنا نرم‌افزارهایی را در سیستم‌عامل خود دارد که با آلوده کردن این نرم‌افزارها به بدافزار GSMem می‌توان داده‌ها را از طریق سیگنال‌های الکترومغناطیسی در فرکانس‌های سلولی رسانه‌های متصل به سیستم به یک تلفن همراه ارسال نمود.  بخشی از بدافزار مذکور در سیستم هدف و بخشی دیگر در سیستم مبدا پیاده‌سازی می‌شود تا از طریق آن بتوان ارتباطی تک سویه را بین این دو بوجود آورد. اگر گیرنده یک موبایل معمولی باشد فاصله‌ای بین یک مترونیم تا پنج متر را پوشش می‌دهد که با اتصال گیرنده اختصاصی می‌توان فاصله نقل و انتقال داده را تا 30 متر نیز افزایش داد. در صورت نیاز به جزئیات بیشتر می‌توانید فیلم و سند مربوطه را در لینک بعدی مشاهده و دانلود کنید. #Air_Gap #ICS_Attack #GSMem @ICSdefender

در صورت نیاز به جزئیات بیشتر می‌توانید فیلم این حمله و سند مربوطه را در لینک زیر مشاهده و یا دانلود کنید. http://www.icsdefender.ir/detail.html?i=bU53VVBSWWxkWDA9 #Air_gap #GSMem @ICSdefender

روش Funthenna (رادیویی و امواج الکترومغناطیس) برای نفوذ به شبکه Air-Gap در این روش نیز از امواج رادیویی و الکترومغناطیس موجود در تمامی تجهیزاتی که کمی پیشرفته هستند می‌توان استفاده کرد. به عنوان مثال، می‌توان از ماژول‌های داخلی که برای تامین انرژی قطعات روی برد یک PLC، پرینتر لیزری و یا یک کامپیوتر رومیزی و یا هرچیز دیگری استفاده نمود و با آلوده کردن آن توسط بدافزار بازه امواج را تغییر داد و با تقویت آن‌ها داده‌های مورد نظر را برای یک گیرنده خارج از محیط Air-Gap ارسال نمود. در واقع این روش به دلیل امکان استفاده از بسیاری از تجهیزات برای انتقال داده‌ها کاربرد خوبی می‌تواند داشته باشد. برای دانلود سند تشریح این روش به لینک زیر مراجعه کنید:http://www.icsdefender.ir/detail.html?i=eHJ5OEthUWRnWGM9 #Funthenna #Air_Gap #ICS_Attack @ICSdefender

سیستم های کنترل صنعتی و اسکادا - تست نفوذ PLC - بخش 1 http://www.aparat.com/v/HSXB0 @ICSdefender

نگرانی آمریکا از حملات سایبری ایران بعد از خروج از برجام: در روز سه شنبه، دونالد ترامپ، رئیس جمهور آمریکا، اعلام کرد که ایالات متحده از معاهده هسته ای ایران خارج خواهد شد و همچنین قول داده است تحریم های اقتصادی علیه ایران در جهت محدود کردن برنامه هسته ای ایران را باشدت بیشتری ادامه دهد. محققان می گویند که بر اساس فعالیت های سایبری گذشته ایران، پیش بینی می شود که حمله سایبری گسترده ای از جانب ایران به احتمال زیاد وجود داشته باشد. پریسیلا موریوچی، تحلیلگر پیشین NSA، در حال حاضر می گوید: "ما در ماههای گذشته به بررسی این موضوع می پردازیم که شرکت های آمریکایی در بخش های مالی، زیرساخت های حیاتی، بخش های نفت و انرژی، احتمالا از سوی نیروهای حمایت شده از سوی دولت ایران با حملات سایبری مخرب مواجه خواهند شد. #Cyber_Attack #Nuclear @ICSdefender

آسیب پذیری توربین های بادی Xzeres بررسی اجمالی آسیب پذیری سیستم عامل 442SR هر دوی شیوه‌های POST و GET برای ورود داده را پشتیبانی می‌کند. با استفاده از شیوه‌ی GET، مهاجم می‌تواند شناسه‌ی کاربری و گذرواژه‌ی دستگاه را از طریق مرورگر وب به دست آورده و یا گذرواژه‌ی مربوط به شناسه‌ی کاربری پیشفرض را تغییر دهد. شناسه‌ی کاربری پیشفرض این دستگاه، سطح دسترسی مدیریتی دارد. سابقه محصول آسیب پذیر به گفته‌ی این شرکت، توربین مورد نظر «در سراسر بخش انرژی» جهان استفاده شده است. این مدل بخشی از توربین‌های مقیاس کوچک شرکت XZERES است. محصولات آسیب پذیر توربین‌های بادی مدل 442 SR شرکت XZERES بهره برداری از آسیب پذیری سیستم عامل 442SR هر دوی شیوه‌های POST و GET برای ورود داده را پشتیبانی می‌کند. با استفاده از شیوه‌ی GET، مهاجم می‌تواند شناسه‌ی کاربری و گذرواژه‌ی دستگاه را از طریق مرورگر وب به دست آورده و یا گذرواژه‌ی مربوط به شناسه‌ی کاربری پیشفرض را تغییر دهد. شناسه‌ی کاربری پیشفرض این دستگاه، سطح دسترسی مدیریتی دارد. علاوه بر این، ایجاد کد مخرب جهت سوءاستفاده از این آسیب‌‌پذیری ساده است؛ اگرچه کد از پیش آماده‌ای جهت این کار وجود ندارد، اما با اندکی دستکاری در کدهای دیگر، می‌توان از آنها برای اینکار بهره برد.  توصیه نامه در ادامه به منظور برقراری امنیت بیشتر در زیرساخت صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود: ۱. بازرسی امنیت فیزیکی، پیرامونی و محیطی ۲. ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند ۳. تست‌نفوذ زیرساخت کنترل صنعتی ۴. وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل  ۵. امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق ۶. استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی ۷. استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode ۸. پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری ۹. زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند) #Vulnerability #ICS_Security #Industrial_control_system @ICSdefender

استفاده از روش Ultra Sonic برای نفوذ به شبکه‌های Air-Gap این روش هم مانند روش‌های Fansmitter و DiskFiltration از کانال‌های صوتی برای نفوذ به سیستمی که در محیط Air-Gap قرار دارد استفاده می‌کند. در واقع سیستمی که آلوده به بدافزار است با کنترل بدافزار و از طریق فرکانس‌های پایین صوتی را ارسال می‌کند که سیستم گیرنده با مودلاسون نمودن آن می‌تواند داده‌های ارسالی را بخواند و ذخیره کند. در این روش اسپیکر و یا بلندگوی سیستم به عنوان فرستنده و میکروفن دستگاه دوم به عنوان دریافت کننده داده‌ها را دریافت می‌کند. البته شایان ذکر است این روش اولین بار توسط محققین دانشگاه MIT معرفی شد. شایان ذکر است تصویر زیر مربوط به همین حمله می‌باشد. #Air_Gap #ICS_Attack @ICSdefender

http://www.icsdefender.ir/detail.html?i=MGFGRWNBMGt3Q289 #Air_Gap #ICS_Attack @ICSdefender

https://www.aparat.com/v/gTkDU @ICSdefender

مقاله حملات پایدار و پیشرفته در زیرساخت‌‌های کنترل صنعتی(APT) در این مقاله بنده چند بدافزار صنعنی را مورد بررسی قرار دادم و توضیح مختصری در مورد هر کدوم از آنها دادم و در نهایت با بررسی مفهوم Kill Chain نحوه شناسایی اونها را توضیح دادم. البته به اعتقاد بنده بررسی هر کدام از این بدافزارها به خودی خود نیاز به حداقل ۲۰ ساعت توضیح دارد. این مقاله را میتوانید از طریق آدرس زیر مطالعه فرمایید. http://www.icsdefender.ir/detail.html?i=YlJDdURLeDNNNGc9 @ICSdefender

مقاله حملات پایدار و پیشرفته در زیرساخت‌‌های کنترل صنعتی(APT) http://www.icsdefender.ir/detail.html?i=YlJDdURLeDNNNGc9 #APT #ICS_Security #ICS_Attack @ICSdefender