В 2020 году эксперты Kaspersky ICS CERT обнаружили девять уязвимостей в платформе ISaGRAF Runtime, которая используется в качестве фреймворка для автоматизации во многих продуктах в разных отраслях по всему миру. Теперь исследователи предупреждают, что эти уязвимости могут годами негативно влиять на процессы в различных отраслях.

Помимо систем промышленной автоматизации ISaGRAF Runtime используется в транспортной, энергетической отраслях и других секторах. ISaGRAF — это технология для создания систем управления, ее используют промышленные предприятия по всему миру. Платформу можно адаптировать под различные аппаратно-программные платформы разных вендоров.

Отчет «Лаборатории Касперского» гласит, что упомянутые уязвимости были исправлены производителем платформы — компанией Rockwell Automation — в начале 2022 года. Но в силу того, что производителям нужно адаптировать фреймворк ISaGRAF под свои продукты, обеспечение безопасности пользователей этих продуктов становится непростой задачей. В случае обнаружения уязвимостей, пользователям приходится ждать исправлений и соответствующих рекомендаций сначала от Rockwell Automation, а затем от одного или даже нескольких вендоров. Дополнительно процесс усложняется тем, что исправления возможно устанавливать только в специально отведенные периоды времени (технологические окна).

К марту 2022 года об уязвимостях в своих продуктах сообщили:

Некоторые из уязвимостей, обнаруженных экспертами Kaspersky ICS CERT, могут эксплуатироваться удаленно. Конечная цель атакующих — выйти из ограниченной среды ISaGRAF и получить полный контроль над устройством.

В ходе исследования было выявлено несколько багов и продемонстрированы следующие возможные векторы атак на устройства:

  • удаленный злоумышленник может выполнять привилегированные команды сервиса IXL без прохождения аутентификации на устройствах, которые работают на ISaGRAF Runtime версии до 2010 года;
  • в ISaGRAF Runtime не реализована защита от перебора пароля – удаленный злоумышленник может легко провести брутфорс-атаку;
  • если атакующий сможет провести MitM-атаку, он получит возможность перезаписать состояние тегов, загружаемую программу или данные аутентификации. Поскольку аутентификационные данные зашифрованы на фиксированном симметричном ключе, атакующий сможет расшифровать перехваченный target-пароль к устройству;
  • атакующий может использовать уязвимости для получения удаленного доступа к устройствам с ISaGRAF Runtime и исполнения произвольного кода внутри виртуальной машины ISaGRAF Runtime;
  • атакующий может использовать уязвимости для побега из ограниченного окружения (песочницы) ISaGRAF Runtime и предотвращения в дальнейшем обнаружения вредоносного кода на устройстве.

Исследование показало, что злоумышленники могут проникать в систему через протокол ISaGRAF eXchange Layer (IXL), используемый для передачи данных. Компания Rockwell Automation опубликовала бюллетень безопасности и выпустила обновление, исправляющее часть уязвимостей, а также предложила меры по минимизации последствий тех уязвимостей, для которых исправлений пока нет.

«Среда ISaGRAF Runtime — важнейший инструмент автоматизации, применяемый в разных отраслях по всему миру, включая ключевые для той или иной страны. Эксперты „Лаборатории Касперского” обнаружили несколько уязвимостей, которые могут оказать серьезное воздействие на систему и ее функциональность. Некоторые вендоры уже выпустили исправления, закрывающие обнаруженные уязвимости, но мы подчеркиваем в своем отчете, что эти уязвимости в сторонних компонентах могут стать причиной очень серьезных проблем. Мы хотим еще раз привлечь внимание вендоров к опубликованному Rockwell Automation бюллетеню безопасности и важности следования его рекомендациям», — отмечает Евгений Гончаров, руководитель Kaspersky ICS CERT.

Фото: securelist.ru

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии