Компания Digital Security, специализирующаяся на анализе защищенности систем и исследованиях в области ИБ, сообщила о закрытии уязвимости в библиотеке HART Device Type Manager (DTM), разрабатываемой компанией CodeWrights и используемой в HART-оборудовании Endress+Hauser. Данная проблема была обнаружена Александром Большевым, старшим исследователем департамента безопасности АСУ ТП Digital Security, два с половиной года назад.

Александр Большев оперативно уведомил Endress+Hauser о проблеме еще в мае 2013 года. Однако это сообщение, как и другие официальные обращения, в том числе, оправленные в CodeWrights осенью 2013 года и в мае 2014 года, остались без ответа.

Процесс закрытия уязвимости начался лишь после того, как уведомление о проблеме было направлено в ICS CERT (The Industrial Control Systems Cyber Emergency Response Team) в ноябре 2014 года. Столь долгое время реакции, к сожалению, является стандартным для сферы АСУ ТП. Подобная ситуация имела место и несколько лет назад, еще в 2011 году специалисты Digital Security рассказывали, что уязвимости в ПО JD Edwards, к примеру, живут годами.

Уязвимость, обнаруженная специалистом Digital Security на этот раз, связана с обработкой компонента HART longtag, который используется в поле Endress+Hauser и CodeWrights HART Comm DTM (часть FDT/DTM-архитектуры, применяемая для коммуникации с Frame Application). Фактически, с помощью этой «дыры» в безопасности возможно осуществить XML-иньекцию кода и атаку типа SSRF (Server Side Request Forgery). Среди ключевых последствий стоит назвать раскрытие конфиденциальных данных, отказ в обслуживании, сканирование портов. В случае реализации атаки SSRF подключение будет исходить от сервера, находящегося во внутренней сети, и злоумышленник сможет использовать его для обхода межсетевых экранов.

Чтобы оценить масштаб последствий возможных действий со стороны злоумышленников, отметим, что указанные DTM-компоненты применяются в устройствах химической, энергетической промышленности и системах водоснабжения по всему миру. При этом для эксплуатации проблемы не нужно обладать высокой квалификацией.

Наконец, в конце сентября 2015 года, на сайте ICS CERT появилось сообщение о проблеме безопасности с рекомендацией по ее устранению: https://ics-cert.us-cert.gov/. В частности, в обращении организации-регулятора говорится о том, что воздействию уязвимости подвержены все HART DTM-компоненты, которые базируются на технологии Fieldcare и CodeWrights HART Comm DTM. Список потенциально уязвимых устройств довольно велик, а потому NCCIC/ICS-CERT рекомендует оценить влияние описанной проблемы всем компаниям, использующим указанную технологию, как с точки зрения архитектуры, так и с точки зрения сетевое окружения и продуктов.

Компаниям, применяющим FieldCare или CodeWright HART Comm DTM, рекомендуется как можно скорее обновить свое программное обеспечение до последней версии.

Описанная выше проблема безопасности получила идентификатор CVE-2015-6463b по классификации ICS CERT. Патчи Endress+Hauser и CodeWrights можно найти здесь:
Endress+Hauser: https://portal.endress.com/webdownload/FieldCareDownloadGui/
CodeWrights: http://www.codewrights.de/index.php/en/downloads/software

ICS-CERT рекомендует пользователям принять меры, чтобы снизить риск эксплуатации этой уязвимости. В частности, пользователи должны:

  • уменьшить количество связей с контролирующими системами и/или устройствами и убедиться, что они не имеют доступа из Интернет;
  • разместить системы управления и удаленные устройства за МСЭ и изолировать от их от КИС;
  • для удаленного доступа применять VPN.

Фото: Steve Burns 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии