Согласно предупреждениям агентства США, защищающего национальные объекты
жизнеобеспечения, электронные устройства, используемые для управления
оборудованием на водоочистительных установках и других промышленных объектах,
содержат серьезные недостатки, которые позволяют злоумышленникам управлять им
удаленно.
"Некоторые модели ПЛК Modicon Quantum, используемые в промышленных системах
управления, содержат несколько скрытых аккаунтов, которые используют заранее
установленные пароли для предоставления удаленного доступа", - заявила Группа
реагирования на чрезвычайные ситуации в промышленных системах управления (Industrial
Control Systems Cyber Emergency Response Team) в
информационном сообщении, опубликованном во вторник. Производитель
устройств, компания Schneider Electric, базирующиеся в штате Иллинойс, выпустила
доработки для защиты некоторых слабых мест и продолжает разрабатывать
дополнительные средства защиты.
ПЛК (или программируемые логические контроллеры), располагаются на самых
низких уровнях промышленного объекта, где компьютеризированные датчики отвечают
за клапаны, турбины или другое оборудование, находящееся под контролем. Пароли,
присвоенные по умолчанию и прошитые в Ethernet-карты, используются для
того, чтобы передавать устройствам команды и считывать температуру и другие
данные. Ethernet-модули также позволяют администраторам удаленно управлять
оборудованием используя протоколы, такие как Telnet, FTP и WinDriver Debug port.
Согласно сообщению, опубликованному в
блоге в понедельник независимым исследователем безопасности Рубеном
Сантамарта, модули NOE 100 и NOE 771 содержат по меньшей мере 14 прошитых
паролей, некоторые из которых опубликованы в инструкциях. Даже в тех случаях,
когда пароли скрыты с использованием зашифрованных хэшей, их просто восстановить
благодаря документально подтверждённым уязвимостям в операционной системе
VxWorks. В результате, злоумышленники могут использовать их чтобы войти в
устройства и получить привилегированный доступ для управления.
Жестко заданные пароли - распространённая уязвимость, встречающаяся во многих
промышленных системах управления, включая некоторые серии ПЛК S7 от Siemens.
Поскольку системы управляют оборудованием связаны с плотинами,
нефтеперерабатывающими заводами и водоочистными сооружениями,
несанкционированный доступ считается угрозой национальной безопасности, так как
может быть использован для нарушения их работы.
В ФБР сказали, что они занимаются расследованием претензий в том, что в
прошлом месяце работа одного из водоканалов была нарушена неким лицом,
утверждающим, что оно получило доступ к компьютерам, подключенным к интернету и
контролирующим генераторы, вентиляторы и другое оборудование.
"Закодированные данные доступа, который дает вам права администратора,
являются довольно серьезным нарушением", – заявил К. Рейд Вайтман, эксперт по
безопасности Digital Bond, консалтинговой компании, которая сосредоточена
исключительно на безопасности промышленных систем управления (ICS). Он сказал,
что злоумышленникам может быть сложно получить слишком большой контроль над
промышленными системами управления получив доступ только к PLC, поскольку
зачастую там не указывается какое оборудование подключено к нему.
"У вас нет человеко-машинного интерфейса, поэтому вы точно не знаете к чему
подключен ПЛК", - пояснил он. "Я точно не знаю, является ли [устройство]
выпускным клапаном, входным клапаном или лампочкой".
Планы Вайтмана опубликовать исследования в следующем месяце на научном
симпозиуме по безопасности SCADA в Майами могли бы привести к увеличению ущерба,
который злоумышленники могут нанести после получения доступа ко многим широко
используемым ПЛК. Среди прочего он сказал, что его выводы показали бы, как
использовать устройства, так, чтобы они атаковали другие системы к которым
прикреплены.
Более того, в своём блоге в понедельник Сантамарта сказал, что данные доступа
могут быть использованы для установки вредоносной прошивки контроллеров. Он
также сослался на "недокументированные функциональности, сказывающиеся на
безопасности" в Schneider устройствах. Он сказал, что обнаружил скрытые аккаунты
с помощью реверсинжиниринга прошивки, управляющей ПЛК.
