В 2020 году эксперты Kaspersky ICS CERT обнаружили девять уязвимостей в платформе ISaGRAF Runtime, которая используется в качестве фреймворка для автоматизации во многих продуктах в разных отраслях по всему миру. Теперь исследователи предупреждают, что эти уязвимости могут годами негативно влиять на процессы в различных отраслях.
Помимо систем промышленной автоматизации ISaGRAF Runtime используется в транспортной, энергетической отраслях и других секторах. ISaGRAF — это технология для создания систем управления, ее используют промышленные предприятия по всему миру. Платформу можно адаптировать под различные аппаратно-программные платформы разных вендоров.
Отчет «Лаборатории Касперского» гласит, что упомянутые уязвимости были исправлены производителем платформы — компанией Rockwell Automation — в начале 2022 года. Но в силу того, что производителям нужно адаптировать фреймворк ISaGRAF под свои продукты, обеспечение безопасности пользователей этих продуктов становится непростой задачей. В случае обнаружения уязвимостей, пользователям приходится ждать исправлений и соответствующих рекомендаций сначала от Rockwell Automation, а затем от одного или даже нескольких вендоров. Дополнительно процесс усложняется тем, что исправления возможно устанавливать только в специально отведенные периоды времени (технологические окна).
К марту 2022 года об уязвимостях в своих продуктах сообщили:
Некоторые из уязвимостей, обнаруженных экспертами Kaspersky ICS CERT, могут эксплуатироваться удаленно. Конечная цель атакующих — выйти из ограниченной среды ISaGRAF и получить полный контроль над устройством.
В ходе исследования было выявлено несколько багов и продемонстрированы следующие возможные векторы атак на устройства:
- удаленный злоумышленник может выполнять привилегированные команды сервиса IXL без прохождения аутентификации на устройствах, которые работают на ISaGRAF Runtime версии до 2010 года;
- в ISaGRAF Runtime не реализована защита от перебора пароля – удаленный злоумышленник может легко провести брутфорс-атаку;
- если атакующий сможет провести MitM-атаку, он получит возможность перезаписать состояние тегов, загружаемую программу или данные аутентификации. Поскольку аутентификационные данные зашифрованы на фиксированном симметричном ключе, атакующий сможет расшифровать перехваченный target-пароль к устройству;
- атакующий может использовать уязвимости для получения удаленного доступа к устройствам с ISaGRAF Runtime и исполнения произвольного кода внутри виртуальной машины ISaGRAF Runtime;
- атакующий может использовать уязвимости для побега из ограниченного окружения (песочницы) ISaGRAF Runtime и предотвращения в дальнейшем обнаружения вредоносного кода на устройстве.
Исследование показало, что злоумышленники могут проникать в систему через протокол ISaGRAF eXchange Layer (IXL), используемый для передачи данных. Компания Rockwell Automation опубликовала бюллетень безопасности и выпустила обновление, исправляющее часть уязвимостей, а также предложила меры по минимизации последствий тех уязвимостей, для которых исправлений пока нет.
«Среда ISaGRAF Runtime — важнейший инструмент автоматизации, применяемый в разных отраслях по всему миру, включая ключевые для той или иной страны. Эксперты „Лаборатории Касперского” обнаружили несколько уязвимостей, которые могут оказать серьезное воздействие на систему и ее функциональность. Некоторые вендоры уже выпустили исправления, закрывающие обнаруженные уязвимости, но мы подчеркиваем в своем отчете, что эти уязвимости в сторонних компонентах могут стать причиной очень серьезных проблем. Мы хотим еще раз привлечь внимание вендоров к опубликованному Rockwell Automation бюллетеню безопасности и важности следования его рекомендациям», — отмечает Евгений Гончаров, руководитель Kaspersky ICS CERT.
Фото: securelist.ru
