گزارش آسیب پذیری روز صفر CVE-2020-7489 مشابه استاکس نت
امروزه سیستم های کنترل نظارتی و اکتساب داده، Supervisory Control And Data Acquisition ) #SCADA) تلقی می گردند. سیستم های اسکادا به منزله مغز کنترل و مانیتورینگ زیرساخت های حیاتی نظیر شبکه های انتقال و توزیع برق، پالایشگاه ها، شبکه های انتقال آب، کنترل ترافیک و … می باشند. با توجه به نقش برجسته سیستم های اسکادا در کنترل و مانیتورینگ زیرساخت های حیاتی و صنایع مهم یک کشور، پرداختن به ایمن سازی آنها به یک اولویت ملی مهم تبدیل شده است چراکه :
سیستم های اسکادا با هدف حداکثر بازدهی و کارآیی مطلوب طراحی شده اند و به امنیت آنها توجه جدی نشده است، این درحالی است که نیاز اساسی امروز با توجه به واقعیت های موجود و افزایش آمار حملات و سو استفاده های اخیر در این سیستم ها می باشد.
در اغلب سیستم های اسکادا، به محیط عملیاتی بطور کامل اعتماد می شود و با فرض وجود یک محیط ایمن، فعالیت ها انجام می شود. ارتباط تنگاتنگ این سیستم ها با سایر سیستم های موجود در یک سازمان، ضرورت توجه به امنیت آنها را مضاعف کرده است.
امنیت سیستم های اسکادا مدتی است که نگرانی فزاینده ای داشته است. این فناوری برخی از اساسی ترین خدمات همچون نیروگاه های هسته ای و شبکه های برقی را کنترل می کند. در حالی که بسیاری از این پیاده سازی ها با پیچیدگی های منحصر به فرد محافظت می شوند ، مانیتورینگ شبانه روزی، آسیب پذیری ها و حملات مورد نظر آنها را نباید از نظر دور داشت.
شرح آسیب پذیری
محققان آسیب پذیری دیگری را در نرم افزار ساخته شده توسط اشنایدر الکتریک مشاهده کرده اند که شبیه به مورد سوء استفاده از بدافزار استاکس نت است.
استاکس نت، بدافزاری که یک دهه پیش توسط ایالات متحده و اسرائیل برای آسیب رساندن به برنامه هسته ای ایران بهکار رفته بود. این بدافزار برای هدف قرار دادن کنترلرهای منطقی قابل برنامه ریزی(PLCs) زیمنس (SIMATIC S7-300 و S7-400) طراحی شده بود. یکی از روشهای مورد استفاده ، تزریق DLL برای جایگزینی DLL است که توسط نرم افزار SCADA استفاده شده است بنابراین این بد افزار با جایگزین کردن فایل DLL مرتبط با نرم افزار برنامه نویسی کنترلر زیمنس STEP7، با کد مخرب روی PLC ها قرار گرفت. با انجام این کار ، به مهاجمان اجازه می دهد تا هر دو روش کنترل و نظارت را رهگیری و دستکاری کند و سانتریفیوژها را مجبور کند صدمه ببینند که توسط اپراتور به آنها آسیب نرساند.
در ماه مارس، Airbus Cybersecurance گزارش داد که آسیب پذیری مشابهی را در نرم افزار مهندسی EcoStruxure Control EneStruxure Control Schneider Electric، که قبلاً با عنوان Unity Pro شناخته می شد، شناسایی کرده است. این نقص که با عنوان CVE-2020-7475 ردیابی می شود، می تواند یکی از فایل های DLL مرتبط با نرم افزار مهندسی در Modicon M340 و M580 PLC را با کد مخرب مورد نظر مهاجم را جایگزین نماید و مورد سوء استفاده قرار دهد، که می تواند منجر به اختلال در روند و سایر آسیب ها شود.
محققان موسسه امنیت سایبری Trustwave روز پنجشنبه گزارش دادند که آنها نیز آسیب پذیری مشابهی را در نرم افزار اشنایدر، بخصوص(EcoStruxure Machine Expert قبلاً با نام SoMachine شناخته می شد) شناسایی کرده اند که به کاربران امکان می دهد پروژه هایی مشابه با Stuxnet را در مورد کنترلرهای Modicon M221 توسعه دهند.
SoMachine Basic یک نرم افزار رایگان است که توسط Schneider Electric برای برنامه ریزی و کنترل کنترل کننده منطق قابل برنامه ریزی M221 (PLC) تهیه شده است. تحقیقات نشان می دهد که SoMachine Basic در مقادیر حساس مورد استفاده در ارتباطات با PLC بررسی های کافی را انجام نمی دهد. از آسیب پذیری بالقوه می توان برای ارسال بسته های دستکاری شده به PLC استفاده کرد ، بدون آنکه نرم افزار از این دستکاری آگاه باشد.
اشنایدر وصله هایی را برای هر دو آسیب پذیری منتشر کرده است، اما در مشاوره برای اولین حفره امنیتی خاطرنشان کرده است که محصولات سایر فروشندگان نیز می توانند در برابر این نوع حملات آسیب پذیر باشند.
کارل سیگلر، مدیر ارشد تحقیقات امنیتی در SpiderLabs Trustwave ، به SecurityWeek گفت که بهره برداری از CVE-2020-7489 نیاز به دسترسی به محیط میزبان نرم افزار SoMachine و PLC هدف دارد.
برای آسیب پذیری تزریق DLL CVE-2020-7489)) در نرم افزار SoMachine حمله کننده باید تزریق را با استفاده از کاربر محلی مجاز به اجرای نرم افزار انجام دهد و لزومی به دسترسی ادمین ندارد مگر اینکه در تنظیمات اجرای اینگونه پیکره بندی فقط در اختیار ادمین باشد که عموما این اتفاق نمی افتد و ما در استاکس نت دیده ایم که لزوماً مانعی برای بهره برداری نیست.
محققان Trustwave همچنین کشف جالبی را در رابطه با آسیب پذیری قدیمی مؤثر بر نرم افزار اشنایدر الکتریک انجام دادند. در سال ۲۰۱۷، آسیب پذیری CVE-2017-6034 گزارش شد.
در این آسیب پذیری هکرها قادر به شنود ، دستکاری و انتقال مجدد دستورات کنترلی بین نرم افزار مهندسی و PLC می باشد. تأثیر این حمله بدین گونه است که یک مهاجم مخرب قادر است PLC را از راه دور بدون احراز هویت با نرم افزار مهندسی شروع و متوقف کند. این مهاجم مخرب همچنین می تواند منطق منطق برنامه نویسی در PLC را بدون احراز هویت تغییر دهد. جزئیات این آسیب پذیری با مشخصه CVE-2017-6034 اطلاع رسانی شد.
