ضعف امنیتی سامانه‌های اسکادا

تاریخ انتشار : ۲۹ مرداد ۱۳۹۴

اخیراً شش هشدار امنیتی روز صفرم در مورد سامانه‌های اسکادا منتشرشده است.

به گزارش گرداب از سایبربان،شش آسیب‌پذیری روز صفرم در سامانه‌های اسکادا به سازمان‌های مربوطه هشدار داده شد. محقق امنیتی به نام sood از شرکت elastica، در اجلاس Def Con 2015 پیرامون آسیب‌پذیری‌های متعدد در رابط‌های انسان و ماشین سامانه‌های اسکادا خبر داد.

همچنین این محقق فایل‌هایی که شامل آسیب‌پذیری‌های محلی و از راه دور بود را شناسایی کرد. این آسیب‌پذیری‌ها شامل مکانیسم احراز هویت ناامن، رمزنگاری ضعیف، رمزنگاری به‌وسیله هش ضعیف، جعل درخواست cross-site و دیگر آسیب‌پذیری‌هایی که بر ماژول‌های رابط انسان و ماشین تأثیرگذار است. ماژول‌های آسیب‌پذیر رابط انسان و ماشین توسط شرکت‌های Moxa، Prisma، KACO، Rockwell Automation، Schneider Electric و Siemens مورد استفاده قرار گرفته است

دو آسیب‌پذیری مجزا مربوط به رابط‌های وبی سامانه‌های نظارت و بررسی شرکت Rockwell Automation است. این دو آسیب‌پذیری شامل تأثیرگذاری فایل مخرب (که توسط مهاجم ایجاد گردیده است) از راه دور و آسیب‌پذیری XSS است.

این سازمان منتشر کرد راه‌های امنیتی را برای رابط‌های انسان و ماشین شرکت KACO که این محصولات رمزنگاری شده بود.

همچنین دراین‌بین آسیب‌پذیری رمزنگاری hardcoded در محصولات رابط انسان و ماشین محصولات صنعتی شرکت KACO نیز گزارش شده است.

همچنین وی به کدهایی دست یافت که استفاده می‌شدند توسط شرکت Prisma که این کدها حفاظت‌شده نبودند؛ و آسیب‌پذیری‌های CSRF اجازه کنترل از راه دور را به مهاجمان ناشناخته می‌دادند تا تغییرات را بر سامانه‌های آسیب‌پذیر وارد کنند.

شاید به نظر برسد که شرکت‌های بزرگ از امنیت کافی در قدرت نظارتی خود برخوردارند، اما نتایج یک تحقیق معتبر خلاف این مساله را ثابت می‌کند.

محقق شرکت elastic اذعان داشته که رمز عبورهایی که مربوط به دسترسی به محصولات در بستر وب شرکت Prisma است، به‌طور کامل محافظت نمی‌شوند. همچنین آسیب‌پذیری CSRF موجود در این سامانه‌ها به مهاجمان اجازه می‌دهد که به‌عنوان کاربر غیرمجاز وارد سیستم شده و بتوانند از راه دور پیکربندی تجهیزات آسیب‌پذیر را به‌صورت دلخواه تغییر دهند.

ماژول‌های پردازش Modicon M340 PLC Station P34 شرکت Schneider Electric نیز، اطلاعات محرمانه خود را به‌صورت hardcoded  رمزنگاری کرده و یک مهاجم می‌تواند به‌وسیله‌ی ایجاد فایل مخرب (هم به‌صورت محلی و هم از راه دور) کدهای دلخواه خود را اجرا کند.

وی گزارش داد که ماژول‌های محصولات گروه اشنایدر سری Modicon M340 PLC Station P34 CPU تحت تأثیر اطلاعات محرمانه به‌صورت محلی و کنترل‌شده است که آسیب‌پذیر است.

آسیب‌پذیری‌ کدهای کنترلی اجراشده می‌تواند مورد سوءاستفاده directory traversal و اختلال سرویس (DOS) قرار بگیرد.

این آسیب‌پذیری‌ها قابلیت بهره‌برداری از راه دور به‌وسیله‌ی اجرای کدهای مخرب، پیمایش دایرکتوری و اجرای حمله DoS را دارند.

کنترل‌کننده صنعتی Moxa ioLogik E2210 می‌تواند توسط سه آسیب‌پذیری غیرمجاز در دسترس بین ماژول‌های رابط انسان و ماشین مورد سوءاستفاده قرار بگیرد.

ماژول کنترلی Moxa ioLogik E2210 Ethernet Micro RTU دارای سه آسیب‌پذیری می‌باشند که یک مهاجم می‌تواند با بهره‌برداری موفق از آنها، از ماژول‌های رابط انسان و ماشین دسترسی بگیرد.

شایان ذکر است محصولات آسیب‌پذیر به‌صورت گسترده در زیرساخت‌های بسیاری از کشورها (که جمهوری اسلامی ایران را نیز شامل می‌شود) مورد استفاده قرار گرفته و حمله به این تجهیزات می‌تواند خسارات جدی را ایجاد کند.

شایان ذکر است موارد امنیتی زیر می‌تواند به پیشگیری از حملات نقش بسزایی داشته باشد.
-تمامی نرم‌افزارها را باحالت کاربر (User) اجرا شود نه در حالت مدیر (Administrator)
-نرم‌افزارها و پچ نرم‌افزارها را از منابع معتبر دریافت شود (در صورت انتشار از شرکت مربوطه و یا منابع معتبر)
-از طراحی‌های خوب شبکه استفاده شود؛ از DMZ‌ها به همراه پیکربندی کامل استفاده شود؛ ترافیک بین سامانه‌ها و منطقه‌ها (zones) مانیتور شود
-از امنیت‌های منطقی به‌منظور اجرای دفاع در عمق در سامانه‌های کنترل صنعتی استفاده شود
-اهمیت مراقبت از تجهیزات به کارکنان گوش زد شود؛ مخصوصاً آگاهی‌های لازم به‌منظور مقابله با حملات مهندسی اجتماعی به کارکنان آموزش داده شود
در ادامه به‌منظور برقراری امنیت بیشتر در شبکه، پیشنهاد می‌شود که اقدامات زیر انجام شود:
-ایزوله کردن سامانه‌های کنترل صنعتی از اینترنت
-شبکه سامانه‌های کنترل صنعتی و تجهیزات متصل به آن را پشت فایروال قرار داده و از شبکه اداری جدا کنیم
-زمانی که اپراتورها نیاز به دسترسی از راه دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب‌پذیر باشند و باید به‌صورت پیوسته بروز شوند)

اسلاید‌های وی انتشار داده نمی‌شوند تا زمانی که شرکت‌ها تولید محصولات آسیب‌پذیر خود را ادامه دهند، این انتشار برای به‌روزرسانی امنیتی لازم است.

به گزارش سایبربان سازمان بی‌درنگ هشدارها را برای کنترل آسیب‌پذیری اعلام کرد. محصولات تأثیرپذیر به‌طور گسترده در صنعت مورد استفاده قرار می‌گیرند و حمله به این سامانه‌ها می‌تواند باعث آسیب جدی شود.

 به گزارش سایبر‌بان یک سری توصیه برای به حداقل رساندن سیستم اسکادا در معرض خطر ارائه‌شده است برای مثال پیشنهاد می‌شود که از VPN برای امنیت سیستم کنترلی استفاده شود.