فا

‫ اخبار

گزارش آسیب پذیری روز صفر CVE-2020-7489 مشابه استاکس نت

امروزه سيستم هاي كنترل نظارتي و اکتساب داده، (Supervisory Control And Data Acquisition ) #SCADA تلقي مي گردند. سيستم هاي اسکادا به منزله مغز كنترل و مانيتورينگ زيرساخت هاي حياتي نظير شبكه هاي انتقال و توزيع برق، پالايشگاه ها، شبكه هاي انتقال آب، كنترل ترافيك و ... مي باشند. با توجه به نقش برجسته سيستم هاي اسكادا در كنترل و مانيتورينگ زيرساخت هاي حياتي و صنايع مهم يك كشور، پرداختن به ايمن سازي آنها به يك اولويت ملي مهم تبديل شده است چراكه :
سيستم هاي اسکادا با هدف حداكثر بازدهي و كارآيي مطلوب طراحي شده اند و به امنيت آنها توجه جدي نشده است، اين درحالي است که نياز اساسي امروز با توجه به واقعيت هاي موجود و افزايش آمار حملات و سو استفاده هاي اخير در اين سيستم ها مي باشد.
در اغلب سيستم هاي اسکادا، به محيط عملياتي بطور كامل اعتماد مي شود و با فرض وجود يك محيط ايمن، فعاليت ها انجام مي شود. ارتباط تنگاتنگ اين سيستم ها با ساير سيستم هاي موجود در يك سازمان، ضرورت توجه به امنيت آنها را مضاعف كرده است.
امنیت سیستم های اسکادا مدتی است که نگرانی فزاینده ای داشته است. این فناوری برخی از اساسی ترین خدمات همچون نیروگاه های هسته ای و شبکه های برقی را کنترل می کند. در حالی که بسیاری از این پیاده سازی ها با پیچیدگی های منحصر به فرد محافظت می شوند ، مانیتورینگ شبانه روزی، آسیب پذیری ها و حملات مورد نظر آنها را نباید از نظر دور داشت.
شرح آسیب پذیری
محققان آسیب پذیری دیگری را در نرم افزار ساخته شده توسط اشنایدر الکتریک مشاهده کرده اند که شبیه به مورد سوء استفاده از بدافزار استاکس نت است.
استاکس نت، بدافزاری که یک دهه پیش توسط ایالات متحده و اسرائیل برای آسیب رساندن به برنامه هسته ای ایران بهکار رفته بود. این بدافزار برای هدف قرار دادن کنترلرهای منطقی قابل برنامه ریزی(PLCs) زیمنس (SIMATIC S7-300 و S7-400) طراحی شده بود. یكی از روشهای مورد استفاده ، تزریق DLL برای جایگزینی DLL است كه توسط نرم افزار SCADA استفاده شده است بنابراین این بد افزار با جایگزین کردن فایل DLL مرتبط با نرم افزار برنامه نویسی کنترلر زیمنس STEP7، با کد مخرب روی PLC ها قرار گرفت. با انجام این کار ، به مهاجمان اجازه می دهد تا هر دو روش کنترل و نظارت را رهگیری و دستکاری کند و سانتریفیوژها را مجبور کند صدمه ببینند که توسط اپراتور به آنها آسیب نرساند.

در ماه مارس، Airbus Cybersecurance گزارش داد که آسیب پذیری مشابهی را در نرم افزار مهندسی EcoStruxure Control EneStruxure Control Schneider Electric، که قبلاً با عنوان Unity Pro شناخته می شد، شناسایی کرده است. این نقص که با عنوان CVE-2020-7475 ردیابی می شود، می تواند یکی از فایل های DLL مرتبط با نرم افزار مهندسی در Modicon M340 و M580 PLC را با کد مخرب مورد نظر مهاجم را جایگزین نماید و مورد سوء استفاده قرار دهد، که می تواند منجر به اختلال در روند و سایر آسیب ها شود.
محققان موسسه امنیت سایبری Trustwave روز پنجشنبه گزارش دادند که آنها نیز آسیب پذیری مشابهی را در نرم افزار اشنایدر، بخصوص(EcoStruxure Machine Expert قبلاً با نام SoMachine شناخته می شد) شناسایی کرده اند که به کاربران امکان می دهد پروژه هایی مشابه با Stuxnet را در مورد کنترلرهای Modicon M221 توسعه دهند.
SoMachine Basic یک نرم افزار رایگان است که توسط Schneider Electric برای برنامه ریزی و کنترل کنترل کننده منطق قابل برنامه ریزی M221 (PLC) تهیه شده است. تحقیقات نشان می دهد که SoMachine Basic در مقادیر حساس مورد استفاده در ارتباطات با PLC بررسی های کافی را انجام نمی دهد. از آسیب پذیری بالقوه می توان برای ارسال بسته های دستکاری شده به PLC استفاده کرد ، بدون آنکه نرم افزار از این دستکاری آگاه باشد.

اشنایدر وصله هایی را برای هر دو آسیب پذیری منتشر کرده است، اما در مشاوره برای اولین حفره امنیتی خاطرنشان کرده است که محصولات سایر فروشندگان نیز می توانند در برابر این نوع حملات آسیب پذیر باشند.
کارل سیگلر، مدیر ارشد تحقیقات امنیتی در SpiderLabs Trustwave ، به SecurityWeek گفت که بهره برداری از CVE-2020-7489 نیاز به دسترسی به محیط میزبان نرم افزار SoMachine و PLC هدف دارد.
برای آسیب پذیری تزریق DLL CVE-2020-7489)) در نرم افزار SoMachine حمله کننده باید تزریق را با استفاده از کاربر محلی مجاز به اجرای نرم افزار انجام دهد و لزومی به دسترسی ادمین ندارد مگر اینکه در تنظیمات اجرای اینگونه پیکره بندی فقط در اختیار ادمین باشد که عموما این اتفاق نمی افتد و ما در استاکس نت دیده ایم که لزوماً مانعی برای بهره برداری نیست.
محققان Trustwave همچنین کشف جالبی را در رابطه با آسیب پذیری قدیمی مؤثر بر نرم افزار اشنایدر الکتریک انجام دادند. در سال 2017، آسیب پذیری CVE-2017-6034 گزارش شد.
در این آسیب پذیری هکرها قادر به شنود ، دستکاری و انتقال مجدد دستورات کنترلی بین نرم افزار مهندسی و PLC می باشد. تأثیر این حمله بدین گونه است که یک مهاجم مخرب قادر است PLC را از راه دور بدون احراز هویت با نرم افزار مهندسی شروع و متوقف کند. این مهاجم مخرب همچنین می تواند منطق منطق برنامه نویسی در PLC را بدون احراز هویت تغییر دهد. جزئیات این آسیب پذیری با مشخصه CVE-2017-6034 اطلاع رسانی شد.

جهت دریافت متن کامل گزارش کلیک نمایید