(уязвимость) Баги в оборудовании Schneider Electric остаются открытыми
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Спустя почти две недели с момента их разглашения на DEF CON уязвимости в SCADA-оборудовании Schneider Electric остаются непропатченными.
В конце прошлой недели группа экстренного реагирования на кибератаки против промышленных систем управления (Industrial Control System Cyber Emergency Response Team, ICS-CERT) издала оповещение о ситуации со Schneider Electric. В настоящий момент организация занята анализом патчей совместно с Адитией Судом (Aditya K. Sood), обнародовавшим уязвимости на DEF CON. Суд заявил, что решение об издании предупреждения было принято после его выступления в Лас-Вегасе, во время которого он раскрыл подробности уязвимостей в программном обеспечении интерфейса оператора модуля Modicon M340 PLC Station P34. Интерфейс оператора используется для визуализации автоматизированных процессов и позволяет администраторам управлять инфраструктурой при помощи одного экрана или нескольких экранов.
Уязвимость кроется в модулях, поддерживающих функцию Factory Cast Modbus.
«Предупреждение основано на информации из моего выступления на DEF CON, однако есть высокая вероятность того, что атакующие уже используют эти уязвимости в течение какого-то времени», — заявил Суд.
Он передал в Schneider Electric отчет и PoC-код для двух удаленно доступных уязвимостей и для одного связанного с ними бага, требующего локального эксплойта. Одна из этих уязвимостей — вшитая учетная запись, о которой, по словам представителей ICS-CERT, им было известно еще до выступления Суда. Суд же заявил, что ему неизвестно, была ли она удалена после обсуждения разработки патча.
Две другие уязвимости, удаленное (remote file inclusion, RFI) и локальное включение файлов (local file inclusion, LFI), могут быть использованы либо в ходе фишинговых атак с использованием специально созданной URL-ссылки, либо же при наличии у атакующего физического доступа к программному обеспечению.
«Опасность ситуации в том, что злоумышленник может атаковать пользователей или администраторов SCADA-системы при помощи URL-ссылки, которая, будучи кликнута, исполнит код, хранящийся на стороннем домене, — заявил Суд. — Таким же образом и локальный файл может быть скачан при помощи LFI-атаки, однако хочу заметить, что в подобных случаях RFI куда опаснее»
Схожая RFI-уязвимость была обнаружена в веб-интерфейсах Rockwell Automation 1766-L32BWAA/1766-L32BXBA, программируемых логических контроллерах, используемых на многих предприятиях.
«Уязвимости включения файлов достаточно просто пропатчить, но это зависит от ICS-вендоров», — заявил Суд.
Ранее в этом году Rockwell усилила ненадежную защиту паролей в интерфейсе оператора RSView32, в котором для защиты паролей использовался устаревший криптографический алгоритм.
Комментарии из Telegram
Комментарии ВКонтакте