بررسی اجمالی آسیب‌پذیری

مرکز بررسی آسیب پذیری های HP اعلام کرده که محققی به نام Ariele Caltabiano آسیب پذیری stack-based buffer overflow را در تجهیزات نظارتی ActiveX مدل SDK Plus شرکت Moxa شناسایی کرده است. در همین راستا شرکت Moxa فایل بروز رسانی شده ای را به منظور کاهش آسیب پذیری ارائه کرده است. این آسیب پذیری قابلیت بهره‌برداری از راه دور را دارد. برداری موفق از این آسیب پذیری به مهاجمان اجازه می دهد که از راه دور کدهای دلخواه خود را در سطح privilege در VPort در حال اجرا، اجرا کنند. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

سابقه محصول آسیب پذیر

Moxa یک شرکت تایوانی است که دفاتر زیادی در کشورهای سراسر دنیا از جمله ایالات متحده، انگلستان، هند، آلمان، فرانسه، چین و برزیل دارد. محصول آسیب پذیر Moxa VPort می باشد. Moxa VPort از خانواده دوربین، recorder و encoderها می باشد. ActiveX Control اجزای OCX می باشند که تکنولوژی Microsoft COM (Component Object Model) به منظور فعال سازی نرم افزار جهت ارتباط گرفتن از آن استفاده می کند. ActiveX در VB، VC و محیط های توسعه یافته C# (همانطور که در ابزارها و اپلیکیشن های اتوماسیونی نظیر نرم افزارهای SCADA به کار رفته است) به کار رفته است. بر اساس گزارش شرکت Moxa محصولات VPort ActiveX SDK در تمامی 16 حوزه صنعتی مورد استفاده قرار گرفته اند. همچنین این شرکت برآورد کرده است که محصول آسیب پذیر در ابتدا در ایالت متحده و اروپا و درصد کمی هم در آسیا مورد استفاده قرار گرفته است.

محصولات آسیب پذیر

تمامی نسخه های محصولات VPort ActiveX SDK آسیب پذیر می باشد. لیست اقلام به شرح زیر می باشد.

• سری های MxNVR-MO4

• سری های VPort 26A-1MP
• VPort 351
• VPort 354
• سری های VPort 36-1MP
• سری های VPort 364A
• VPort 451
• VPort 461
• سری های VPort 56-2MP
• VPort P06-1MP-M12
• سری های VPort P06HC-1MP-M12
• سری های VPort P16-1MP-M12
• سری های VPort P16-1MP-M12-IR

 بهره برداری از آسیب پذیری

STACK-BASED BUFFER OVERFLOW تابعی در ActiveX می باشد که به Stack-Based Buffer Overflow آسیب پذیر می باشد. بهره برداری موفق از این آسیب پذیری می تواند این امکان را فراهم کند که مهاجم بتواند کدهای اسمبلی دلخواه خود را نظیر فرآخوانی یک ابزار دیگر را اجرا کند. شناسه CVE-2015-0986 به این آسیب پذیری اختصاص یافته است. این آسیب پذیری قابلیت بهره برداری از راه دور را داشته و یک مهاجم با سطح مهارت پایین می تواند از این آسیب پذیری بهره برداری موفق داشته باشد.

توصیه نامه

در راستای کاهش آسیب پذیری شناسایی شده، شرکت Moxa نسخه های بروز رسانی شده ای را در اختیار کاربران خود (در آدرس های زیر) قرار داده است. ضمنا این شرکت به کاربران خود توصیه کرده است که از آدرس های ارائه شده بهره برداری کرده و فایل های بروز رسانی شده را در سیستم های خود نصب کنند.

http://www.moxa.com/support/download.aspx?d_id=2114

در ادامه به منظور برقراری امنیت بیشتر در شبکه، پیشنهاد می شود که اقدامات زیر انجام شود:

• ایزوله کردن سیستم های کنترل صنعتی از اینترنت
• شبکه سیستم های کنترل صنعتی و تجهیزات متصل به آن را پشت فایروال قرار داده و از شبکه اداری جدا کنیم
• زمانی که اپراتور ها نیاز به دسترسی از راه دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)