به گزارش ایسنا، آسیبپذیری بر روی کنترلکننده و کارتهای شبکهی صنعتی زیمنس بر اساس اعتبارسنجی نامناسب ورودی است که به مهاجم امکان ایجاد شرایط انکار سرویس را از طریق بستههای شبکهی PROFINET DCP میدهد.
برخی مراکز دادهی کشور اواخر هفتهی گذشته با حملهی سایبری مواجه شدند و تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتند. دلیل اصلی مشکل، وجود حفرهی امنیتی در ویژگی smart install client تجهیزات سیسکو بود و هر سیستمعاملی که این ویژگی بر روی آن فعال بود، در معرض آسیبپذیری مذکور قرار داشته و مهاجمین میتوانستند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
این اتفاق هرچند که به گفتهی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) چندی قبلتر هشدار داده شده بود اما نشان داد که لزوم اطلاعرسانی دقیقتر و شفافتر از سوی مراجع ذیربط احساس میشود و چراغ قرمزی بود برای مدیران سیستمهای امنیتی سازمانها و ارگانها و ادارات تا با استفاده از راهکارهای لازم از سیستمها محافظت و پشتیبانی کنند.
در این حوزه اما مشکلات مشابه آنچه که برای سیسکو رخ داده، برای زیمنس هم رخ داده که قابل توجه است؛ در ماه مارس ۲۰۱۸ گزارشی مبنی بر آسیبپذیری بر روی چند کنترلکننده و کارتهای شبکهی صنعتی زیمنس با شناسهی CVE-۲۰۱۸-۴۸۴۳ منتشر شده است.
آسیبپذیری مذکور بر اساس اعتبارسنجی نامناسب ورودی است که به مهاجم امکان ایجاد شرایط انکار سرویس را از طریق بستههای شبکهی PROFINET DCP میدهد. برای سوء استفاده از این آسیبپذیری، دسترسی مستقیم به لایهی دوم OSI این محصولات نیاز است و در صورت اکسپلویت موفقیتآمیز آسیبپذیری، برای بازیابی سیستم باید تجهیزات به طور دستی مجدداً راهاندازی شوند.
در حال حاضر زیمنس برای چندین محصول بهروزرسانی منتشر کرده است و در حال بررسی بهروزرسانی دیگر محصولات باقی مانده است و تا زمان در دسترس قرار گرفتن بهروزرسانیها راههای مقابلهای را پیشنهاد کرده است.
اعتبارسنجی نامناسب ورودی میتواند منجر به اجرای کد، انکار سرویس و گم شدن دادهها شود که دشمن شمارهی یک سلامت نرمافزار است. اگر مطمئن نشوید اطلاعات ورودی دقیقاً با انتظارات همخوانی دارند، با مشکل مواجه خواهید شد. برای مثال در جایی که انتظار دارید یک شناسهی عددی وارد شود، ورودی به هیچ وجه نباید شامل دادههای کاراکتری باشد.
در برنامههای کاربردی واقعی، نیازهای اعتبارسنجی اغلب پیچیدهتر از حالت سادهی مذکور هستند. اعتبارسنجی نامناسب منجر به آسیبپذیری میشود، زیرا مهاجمان قادرند ورودی را با روشهای غیر قابل انتظار دستکاری کنند. امروزه بسیاری از آسیبپذیریهای مشترک و معمول میتوانند با اعتبارسنجی مناسب ورودی از بین رفته و یا به حداقل کاهش پیدا کنند.
بر اساس اطلاعات سایت مرکز مدیریت راهبردی افتا، پاسخ به درخواست PROFINET DCP با بستهای دستکاری شده میتواند منجر به ایجاد وضعیت انکار سرویس در سیستم درخواستکننده شود. در واقع میتوان گفت آسیبپذیری مذکور ویژگی دسترسپذیری عملکردهای اصلی محصول را تحتتاثیر قرار میدهد. این آسیبپذیری با دسترسی مستقیم حمله کنندهای که در همان بخش Ethernet (لایهی دوم OSI) دستگاه مورد هدف قرار دارد، میتواند مورد سوء استفاده قرار گیرد.
راههای مقابله
زیمنس علاوه بر بهروزرسانی محصولات متاثر، راههای زیر را به منظور کاهش مخاطره به مشتریان ارایه کرده است:
- پیادهسازی مفهوم حفاظت از zoneهای شبکهی کنترل و اتوماسیون
- استفاده از VPN برای حفاظت از ارتباطات شبکهای بین zoneها
- پیادهسازی دفاع در عمق
توصیهها
- حفاظت از دسترسی شبکه به دستگاهها با استفاده از مکانیزمهای مناسب
- مجزا کردن شبکهی صنعتی از سایر شبکههای اداری/داخلی
- اجتناب از اتصال شبکهی صنعتی به اینترنت
- بهروزرسانی نرمافزارهای صنعتی مطابق با روشهای پیشنهاد شده توسط سازنده
- اجرای راهکارهای امنیتی پیشنهاد شده توسط سازنده
برخی مراکز دادهی کشور اواخر هفتهی گذشته با حملهی سایبری مواجه شدند و تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتند. دلیل اصلی مشکل، وجود حفرهی امنیتی در ویژگی smart install client تجهیزات سیسکو بود و هر سیستمعاملی که این ویژگی بر روی آن فعال بود، در معرض آسیبپذیری مذکور قرار داشته و مهاجمین میتوانستند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
این اتفاق هرچند که به گفتهی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) چندی قبلتر هشدار داده شده بود اما نشان داد که لزوم اطلاعرسانی دقیقتر و شفافتر از سوی مراجع ذیربط احساس میشود و چراغ قرمزی بود برای مدیران سیستمهای امنیتی سازمانها و ارگانها و ادارات تا با استفاده از راهکارهای لازم از سیستمها محافظت و پشتیبانی کنند.
در این حوزه اما مشکلات مشابه آنچه که برای سیسکو رخ داده، برای زیمنس هم رخ داده که قابل توجه است؛ در ماه مارس ۲۰۱۸ گزارشی مبنی بر آسیبپذیری بر روی چند کنترلکننده و کارتهای شبکهی صنعتی زیمنس با شناسهی CVE-۲۰۱۸-۴۸۴۳ منتشر شده است.
آسیبپذیری مذکور بر اساس اعتبارسنجی نامناسب ورودی است که به مهاجم امکان ایجاد شرایط انکار سرویس را از طریق بستههای شبکهی PROFINET DCP میدهد. برای سوء استفاده از این آسیبپذیری، دسترسی مستقیم به لایهی دوم OSI این محصولات نیاز است و در صورت اکسپلویت موفقیتآمیز آسیبپذیری، برای بازیابی سیستم باید تجهیزات به طور دستی مجدداً راهاندازی شوند.
در حال حاضر زیمنس برای چندین محصول بهروزرسانی منتشر کرده است و در حال بررسی بهروزرسانی دیگر محصولات باقی مانده است و تا زمان در دسترس قرار گرفتن بهروزرسانیها راههای مقابلهای را پیشنهاد کرده است.
اعتبارسنجی نامناسب ورودی میتواند منجر به اجرای کد، انکار سرویس و گم شدن دادهها شود که دشمن شمارهی یک سلامت نرمافزار است. اگر مطمئن نشوید اطلاعات ورودی دقیقاً با انتظارات همخوانی دارند، با مشکل مواجه خواهید شد. برای مثال در جایی که انتظار دارید یک شناسهی عددی وارد شود، ورودی به هیچ وجه نباید شامل دادههای کاراکتری باشد.
در برنامههای کاربردی واقعی، نیازهای اعتبارسنجی اغلب پیچیدهتر از حالت سادهی مذکور هستند. اعتبارسنجی نامناسب منجر به آسیبپذیری میشود، زیرا مهاجمان قادرند ورودی را با روشهای غیر قابل انتظار دستکاری کنند. امروزه بسیاری از آسیبپذیریهای مشترک و معمول میتوانند با اعتبارسنجی مناسب ورودی از بین رفته و یا به حداقل کاهش پیدا کنند.
بر اساس اطلاعات سایت مرکز مدیریت راهبردی افتا، پاسخ به درخواست PROFINET DCP با بستهای دستکاری شده میتواند منجر به ایجاد وضعیت انکار سرویس در سیستم درخواستکننده شود. در واقع میتوان گفت آسیبپذیری مذکور ویژگی دسترسپذیری عملکردهای اصلی محصول را تحتتاثیر قرار میدهد. این آسیبپذیری با دسترسی مستقیم حمله کنندهای که در همان بخش Ethernet (لایهی دوم OSI) دستگاه مورد هدف قرار دارد، میتواند مورد سوء استفاده قرار گیرد.
راههای مقابله
زیمنس علاوه بر بهروزرسانی محصولات متاثر، راههای زیر را به منظور کاهش مخاطره به مشتریان ارایه کرده است:
- پیادهسازی مفهوم حفاظت از zoneهای شبکهی کنترل و اتوماسیون
- استفاده از VPN برای حفاظت از ارتباطات شبکهای بین zoneها
- پیادهسازی دفاع در عمق
توصیهها
- حفاظت از دسترسی شبکه به دستگاهها با استفاده از مکانیزمهای مناسب
- مجزا کردن شبکهی صنعتی از سایر شبکههای اداری/داخلی
- اجتناب از اتصال شبکهی صنعتی به اینترنت
- بهروزرسانی نرمافزارهای صنعتی مطابق با روشهای پیشنهاد شده توسط سازنده
- اجرای راهکارهای امنیتی پیشنهاد شده توسط سازنده