آسیبپذیری بر روی کنترلکننده و کارتهای شبکه صنعتی زیمنس براساس اعتبارسنجی نامناسب ورودی است که به مهاجم امکان ایجاد شرایط انکار سرویس را از طریق بستههای شبکه PROFINET DCP میدهد.
برخی مراکز داده کشور اواخر هفته گذشته با حمله سایبری مواجه شدند و تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتند. دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بود و هر سیستم عاملی که این ویژگی بر روی آن فعال بود، در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانستند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
این اتفاق هرچند که به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) چندی قبلتر هشدار داده شده بود اما نشان داد که لزوم اطلاع رسانی دقیقتر و شفافتر از سوی مراجع ذی ربط احساس میشود و چراغ قرمزی بود برای مدیران سیستمهای امنیتی سازمانها و ارگانها و ادارات تا با استفاده راهکارهای لازم از سیستمها محافظت و پشتیبانی کنند.
در این حوزه اما مشکلات مشابه آنچه که برای سیسکو رخ داده، برای زیمنس هم رخ داده که قابل توجه است؛ در ماه مارس ۲۰۱۸ گزارشی مبنی بر آسیب پذیری بر روی چند کنترل کننده و کارتهای شبکه صنعتی زیمنس با شناسه CVE-۲۰۱۸-۴۸۴۳ منتشر شده است.
آسیبپذیری مذکور بر اساس اعتبارسنجی نامناسب ورودی است که به مهاجم امکان ایجاد شرایط انکار سرویس را از طریق بستههای شبکه PROFINET DCP میدهد. برای سوء استفاده از این آسیب پذیری، دسترسی مستقیم به لایه دوم OSI این محصولات نیاز است و در صورت اکسپلویت موفقیت آمیز آسیب پذیری، برای بازیابی سیستم باید تجهیزات به طور دستی مجدداً راهاندازی شوند.
در حال حاضر زیمنس برای چندین محصول به روزرسانی منتشر کرده است و در حال بررسی به روزرسانی دیگر محصولات باقیمانده است و تا زمان در دسترس قرار گرفتن به روزرسانی ها راههای مقابلهای را پیشنهاد کرده است.
اعتبارسنجی نامناسب ورودی میتواند منجر به اجرای کد، انکار سرویس و گم شدن دادهها شود که دشمن شماره یک سلامت نرم افزار است. اگر مطمئن نشوید اطلاعات ورودی دقیقاً با انتظارات همخوانی دارند، با مشکل مواجه خواهید شد. برای مثال در جایی که انتظار دارید یک شناسه عددی وارد شود، ورودی به هیچ وجه نباید شامل داده های کاراکتری باشد.
در برنامههای کاربردی واقعی، نیازهای اعتبارسنجی اغلب پیچیدهتر از حالت ساده مذکور هستند. اعتبارسنجی نامناسب منجر به آسیبپذیری میشود، زیرا مهاجمان قادرند ورودی را با روشهای غیر قابل انتظار دستکاری کنند. امروزه بسیاری از آسیب پذیریهای مشترک و معمول میتوانند با اعتبارسنجی مناسب ورودی از بین رفته و یا به حداقل کاهش پیدا کنند.
بر اساس اطلاعات سایت مرکز مدیریت راهبردی افتا، پاسخ به درخواست PROFINET DCP با بستهای دستکاری شده میتواند منجر به ایجاد وضعیت انکار سرویس در سیستم درخواستکننده شود. در واقع میتوان گفت آسیبپذیری مذکور ویژگی دسترسپذیری عملکردهای اصلی محصول را تحتتاثیر قرار میدهد. این آسیبپذیری با دسترسی مستقیم حمله کنندهای که در همان بخش Ethernet (لایه دوم OSI) دستگاه مورد هدف قرار دارد، میتواند مورد سوء استفاده قرار گیرد.
راههای مقابله
زیمنس علاوه بر بهروزرسانی محصولات متاثر، راههای زیر را به منظور کاهش مخاطره به مشتریان ارایه کرده است:
– پیادهسازی مفهوم حفاظت از zone های شبکه کنترل و اتوماسیون
– استفاده از VPN برای حفاظت از ارتباطات شبکهای بین zone ها
– پیادهسازی دفاع در عمق
توصیهها
– حفاظت از دسترسی شبکه به دستگاهها با استفاده از مکانیزمهای مناسب
– مجزا کردن شبکه صنعتی از سایر شبکههای اداری/داخلی
– اجتناب از اتصال شبکه صنعتی به اینترنت
– بهروزرسانی نرم افزارهای صنعتی مطابق با روشهای پیشنهاد شده توسط سازنده
– اجرای راهکارهای امنیتی پیشنهاد شده توسط سازنده