بررسی اجمالی آسیب‌پذیری

Ivan Sanchez از تیم Nullcode آسیب‌پذیری buffer overflow را در نرم افزار تجهیزات DTM (مدیر تجهیزات) در خط تولید Control Valve Positioner مدل Invensys SRD از شرکت Schneider Electric شناسایی کرده است. در همین راستا شرکت Schneider Electric نسخه جدیدی را از این محصول به منظور کاهش آسیب‌پذیری گزارش شده ارائه کرده است. مهاجمی که بتواند از این آسیب‌پذیری بهره برداری موفق داشته باشد قادر خواهد بود که کدهای دلخواه خود را اجرا کند. تاثیراتی که این آسیب‌پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

سابقه محصول آسیبپذیر

Schneider Electric یک شرکت فرانسوی است که دفتر مرکزی آن در پاریس می باشد. این شرکت در بیش از 100 کشور در سراسر دنیا دفتر دارد. Control Valve Positioners مدل SRD 960 و SRD 991 محصولات آسیب پذیر هستند. این محصولات به عنوان راه انداز (actuators) نیوماتیکی مورد استفاده قرار می گیرد. بر اساس گزارشی که شرکت Schneider Electric ارائه کرده است این محصول به صورت گسترده در حوزه هایی اعم از زیر ساخت های حساس، انرژی، سیستم های آب و فاضلاب و غیره مرود استفاده قرار گرفته است. همچنین شرکت Schneider Electric اعلام کرده است که این محصول به صورت جهانی استفاده شده است.

محصولات آسیب پذیر

تمامی نسخه های DTM که با Control Valve Positioners مدل SRD 960 و SRD 991 تا قبل از نسخه 3.1.6 مورد استفاده واقع شده باشد.

بهره برداری از آسیب‌پذیری

تشریح آسیب‌پذیری به شرح زیر می باشد.

STACK-BASED BUFFER OVERFLOW

آسیب‌پذیری شناسایی شده شامل ایجاد شرایط حمله stack buffer overflow در فایل DLL می باشد که می تواند منجر به این شود که مهاجم بتواند کدهای دلخواه خود را اجرا کند. شناسه CVE-2014-9206 به این آسیب‌پذیری اختصاص یافته است. بهره برداری موفق از این آسیب‌پذیری از راه دور امکان نداشته و بدون تعامل با یک کاربر امکان پذیر نمی باشد. این آسیب‌پذیری زمانی قابل بهره برداری می باشد که یک کاربر فایل مخرب DLL را اجرا کند. به همین منظور، بهره برداری موفق از این آسیب‌پذیری دشوار می باشد. استفاده از مهندسی اجتماعی در بهره برداری از این آسیب‌پذیری، استفاده از آن را دشوار کرده است.

توصیه نامه

در همین راستا شرکت Schneider Electric نسخه بروز رسانی شده ای را به منظور کاهش آسیب‌پذیری گزارش شده، در آدرس زیر ارائه کرده است.

• http://www.foxboro-eckardt.eu/download/FDT-DTMselector.html

همچنین بولتن زیر نیز می تواند برای کاربران محصول آسیب پذیر مفید باشد.

• http://download.schneider-electric.com/files?p_File_Id=740491624&p_File_Name=SEVD-2015-050-01.pdf

در ادامه به منظور برقراری امنیت بیشتر در زیرساخت صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود:

• بازرسی امنیت فیزیکی، پیرامونی و محیطی
• ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند
• تست‌نفوذ زیرساخت کنترل صنعتی
• وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل 
• امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق
• استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی
• استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode
• پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری
• زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)