به گزارش گرداب از سایبربان زیمنس یک شرکت بینالمللی است که دفترمرکزی آن در مونیخ آلمان قرار دارد. در این گزارش سیستم عامل RUGGEDCOM ROS شرکت زیمنس، که برای اتصال دستگاههایی که در محیطهای صنعتی مانند پستهای برق، و کابینهای کنترل ترافیک مورد استفاده قرار میگیرند، به عنوان محصول آسیب پذیر گزارش شده اند.
دستگاههای مبتنی بر RUGGEDCOM ROS در حوزههایی شامل انرژی، بهداشت و درمان و بهداشت عمومی و سیستم حملونقل مورد استفاده قرار گرفته است. این شرکت تخمین میزند که این محصولات در سراسر جهان مورد استفاده قرار گرفته باشد.
استفان کراون (Stephen Craven) از ایالت Tennessee Valley Authority آسیبپذیری IP forwarding را در نسخه قدیمی RUGGEDCOM ROS شناسایی کرده است. این آسیبپذیری قادر به بهرهبرداری از راه دور میباشد.
تشریح آسیبپذیری
سیستمعامل ROS توانایی IP forwarding در لایه دوم را دارد که امکان غیرفعال کردن این مورد توسط کاربر میسر نمیباشد. مهاجم میتواند از طریق دور زدن VLANجدا سازی شده به تجهیز مورد نظر دسترسی پیدا کند. این حمله در صورتی امکان پذیر است که آدرس IP در هر دو VLAN تنظیم شده باشد. شناسه CVE-2015-6675 به این آسیبپذیری اختصاص داده شده است.
درجه اهمیت این آسیبپذیری 4.3 است.
این آسیبپذیری قابلیت بهرهبرداری از راه دور را دارد. مهاجمانی با سطح دسترسی پایین قادر به بهرهبرداری از این آسیبپذیری میباشند.
نسخه ROS4.2.0 (که Firmware آن به روز رسانی شده است) IP forwarding را غیر فعال میکند. شرکت زیمنس به کاربران خود توصیه میکند که Firmware خود را به آخرین نسخه به روز رسانی کنند. به روزرسانی محصولات آسیبپذیر از راههای زیر قابل دسترسی است.
ارسال درخواست پشتیبانی آنلاین
http://www.siemens.com/automation/support-request
مرکز پاسخگویی محلی
http://www.automation.siemens.com/mcms/aspa-db/en/automationtechnology/Pages/default.aspx
اگر کاربران نیازی به ارتباط IP forwarding میان VLANها را در پیکربندی خود نداشته باشند، در این صورت کاربران بعد از به روز رسانی firmware جدید خود، می توانند IP خود را غیرفعال کنند. با توجه به دستورالعمل راهنمای کاربران، لینک زیر به کاربر این رابط شبکه پیشنهاد میشود.
https://support.industry.siemens.com/cs/ww/en/ps/15305/man)
تا زمانی که Firmware به آخرین نسخه خود به روز رسانی شود، کاربران میتوانند آدرسهای IP را که در شبکه VLAN در دسترس نیست را حذف کنند.
برای اطلاعات بیشتر از این آسیبپذیری و جزییات این دستورالعمل لطفاً از آدرس زیر بازدید نمایید.
http://www.siemens.com/cert/advisories/
پیشنهاد میشود که کاربران باید اقدامات دفاعی خود را برای به حداقل رساندن خطر این بهرهبرداری از این آسیبپذیری انجام دهند که به شرح زیر است.
تمامی نرم افزارها را با حالت کاربر (User) اجرا شود نه در حالت مدیر (Administrator)
نرم افزار ها و پچ نرم افزارها از منابع معتبر دریافت شود.
از طراحی های خوب شبکه استفاده شود؛ از DMZ ها به همراه پیکربندی کامل استفاده شود؛ ترافیک بین سیستم ها و منطقه ها (zones) مانیتور شود.
از امنیت های منطقی به منظور اجرای دفاع در عمق در سیستم های کنترل صنعتی استفاده شود
اهمیت مراقبت از تجهیزات به پرسنل گوش زد شود؛ مخصوصا آگاهی های لازم به منظور مقابله با حملات مهندسی اجتماعی به پرسنل آموزش داده شود.
در ادامه به منظور برقراری امنیت بیشتر در شبکه، پیشنهاد می شود که اقدامات زیر انجام شود:
ایزوله کردن سیستم های کنترل صنعتی از اینترنت
شبکه سیستم های کنترل صنعتی و تجهیزات متصل به آن را پشت فایروال قرار داده و از شبکه اداری جدا کنیم
زمانی که اپراتور ها نیاز به دسترسی از راه دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)
تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد. تأثیر تجزیهوتحلیل مناسب برای سازمان و ارزیابی خطر قبل از اقدامات دفاعی بسیار مهم است.
محصولات آسیبپذیر به شرح زیر می باشد.
این شرکت گزارش داد که تأثیر آسیبپذیری بر نسخههای RUGGEDCOM ROS از قبیل زیر است.
ROS : تمام نسخههای بین 3.8.0 و4.2.0
ROS محصولات زیر را تحت تأثیر قرار نمیدهد
محصولات RMC
RP110
RC950G