بروز آسیبپذیری مرد میانی در اتوماسیون یکپارچه SIMATIC Step7 شرکت زیمنس باعث به سرقت رفتن اطلاعات زیرساختهای حیاتی توسط مهاجمان شده است.
تشریح آسیبپذیری
محققان شرکت زیمنس دو آسیبپذیری را در محصولات SIMATIC STEP 7 شناسایی
کردند. در همین راستا شرکت زیمنس فایلی را بهمنظور کاهش این آسیبپذیریها
ارائه کرد. این آسیبپذیریها در ابتدا توسط گروههای تحقیقاتی Quarkslab و
Dmitry Sklyarov شرکت PT-Security به زیمنس ارائه شد.
یکی از این آسیبپذیریها قابلیت بهرهبرداری از راه دور را دارد.
قابلیت بهرهبرداری از راه دور این آسیبپذیری به مهاجم اجازه میدهد که از
راه دور حمله مرد میانی (man-in-the-middle) را انجام دهد. این مهاجم
میتواند دادههایی که بین سیستم و کاربر تبادل میشود را ببیند و تغییر
دهد. این آسیبپذیری به مهاجم محلی اجازه میدهد که رمز عبور سامانهها را
بازسازی کند. تأثیراتی که این آسیبپذیری برای سازمانها ایجاد میکند،
برای هر سازمان کاملاً منحصربهفرد بوده و باید بهصورت موردی بررسی شوند.
بررسی تأثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.
تشریح آسیبپذیری به شرح زیر است:
حمله مرد میانی
مهاجم با دسترسی به شبکه میتواند مسیر بین مشتری و سرور را قطع کرده و
ارتباط صنعتی در پورت 102/TCP را شنود کند. شناسهی CVE-2015-1601 به این
آسیبپذیری اختصاص یافته است.
استفاده از رمز عبورهای هش شده با استفاده از محاسبات ناکافی:
مهاجمانی که دسترسی خواندنی فایلهای پروژهTIA را دارند میتوانند رمز
عبور وب سرور و لایههای محافظتی دیگر را نیز از نو بسازند. شناسهی
CVE-2015-1602 به این آسیبپذیری اختصاص دادهشده است.
آسیبپذیری حمله مرد میانی میتواند از راه دور بهرهبرداری شود. از طرفی بهرهبرداری از هش رمزعبور نیازمند دسترسی محلی است.
بهرهبرداری موفق از آسیبپذیری حمله مرد میانی نیازمند دسترسی به شبکه
سرور و مشتری را دارد. دسترسی محلی نیازمند دسترسی به فایلهای پروژه
بهمنظور تغییر رمز عبور است. به همین منظور، احتمال بهرهبرداری موفق از
این آسیبپذیری کاهش مییابد.
در راستای کاهش آسیبپذیریهای گزارش شده، شرکت زیمنس به کاربران خود پیشنهاد میکند که به وبگاه این شرکت مراجعه کنند.
در ادامه بهمنظور برقراری امنیت بیشتر در شبکه، اقدامات زیر پیشنهاد میشود:
• جدا کردن سامانههای کنترل صنعتی از اینترنت
• شبکه سامانههای کنترل صنعتی و تجهیزات متصل به آن را پشت دیوار آتشین قرار داده و از شبکه اداری جدا کنیم.
• زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده
کنند (لازم به ذکر است که VPN ها ممکن است آسیبپذیر باشند و باید بهصورت
پیوسته بروز شوند)
محصولات آسیبپذیر
• SIMATIC STEP 7 (TIA Portal) نسخه 12
• تمامی نسخههای V13 محصول (SIMATIC STEP 7 (TIA Portal تا قبل از V13 SP1 Upd1