دو محقق با نام Tod Beardsley از شرکت Rapid7 و Jim Denaro از شرکت CipherLaw توانستند که آسیبپذیری احراز هویت از محصولات شرکت یوکوگاوا را شناسایی کنند. محصول آسیبپذیر سری CENTUM CS 3000 و سرور Exaopc میباشد. این آسیبپذیری می تواند از راه دور مورد بهرهبرداری قرار گیرد. ضمنا کد بهرهبرداری این آسیبپذیری به صورت عمومی وجود دارد. شرکتهای JPCERT و Yokogawa این آسیبپذیری را کاهش داده اند. بهرهبرداری موفق از این آسیبپذیری به مهاجم اجازه می دهد که فایلهای دلخواه خود را بخواند و یا بنویسد. تاثیراتی که این آسیبپذیری برای سازمان ها ایجاد میکند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.
یوکوگاوا شرکتی است که در ژاپن میباشد و در سراسر دنیا از جمله شمال و مرکز آمریکا، آمریکای جنوبی، اروپا، آفریقا، جنوب آسیا. آسیای شرقی دفتر دارد. محصول آسیبپذیر CENTUM CS 3000 ، در بستر ویندوز میباشد. بر اساس گزارش یوکوگاوا، این محصول در حوزههایی چون تولیدات حساس، انرژی، غذا و کشاورزی و.... به کار رفته است. همچنین این شرکت اعلام کرده است که به طور تقریبی در حدود 7600 سیستم در سراسر دنیا از محصولات این شرکت میباشد. نکته قابل توجه اینجاست که فاز 1 تا 10 پارس جنوبی از CENTUM CS 3000 استفاده کرده است.
جزئیات آسیبپذیری به شرح زیر میباشد:
IMPROPER AUTHENTICATION (نامناسب بودن تایید احراز هویت)
سرویس BKBCopyD.exe در CENTUM زمانی که پکیج مدیریتی (Batch Management Packages) نصب میشود، به صورت پیش فرض در پورت 20111/TCP شروع به کار میکند. در این رویه، هیچ احراز هویتی انجام نمیشود و این امکان را برای مهاجمان فراهم میکند تا از سرویسهای زیر سوء استفاده کنند:
نشت اطلاعات محل پایگاه داده پروژه CENTUM
خواندن فایلهای دلخواه
نوشتن فایلهای دلخواه
CVE-2014-5208 به این آسیبپذیری اختصاص یافته است. لازم به ذکر است که در مارس 2014 آسیبپذیری مشابه با مشخصات CVE-2014-0784 گزارش شده است که متفاوت با این آسیبپذیری میباشد. یک مهاجم با سطح پایین می تواند از این آسیبپذیری بهرهبرداری کند.
شرکت یوکوگاوا نرمافزار پچی را به منظور کاهش این آسیبپذیری در سپتامبر 2014 ارائه کرده است. این شرکت به کاربران محصولات CENTUM 3000 اکیدا پیشنهاد کرده است تا با مسئولین فنی این شرکت تماس گرفته و نسبت به کاهش این آسیبپذیری اقدامات لازم را اعمال کنند. همچنین این شرکت به کاربران خود پیشنهاد کرده است تا به آدرس زیر مراجعه کنند:
http://www.yokogawa.com/dcs/security/ysar/dcs-ysar-index-en.htm
در ادامه این شرکت پیشنهادات زیر را ارائه کرده است:
هر گونه تبادل اطلاعات (مخصوصا از خارج) که از پورت 20111/TCP انجام می گیرد را بلاک کنند
فقط به کاربران پکیج مدیریتی بچ (Batch Management Packages) اجازه دهند تا از ترافیک داخلی روی پورت 20111/TCP استفاده کنند
ترافیک پورت 20111/TCP را در Exaopc بلاک کنند
CENTUM CS 3000 نسخه R3.09.50 به قبل
CENTUM CS 3000 Small نسخه R3.09.50 به قبل
CENTUM VP نسخه R4.03.00 و R5.04.00 به قبل
CENTUM VP Small نسخه R4.03.00 و R5.04.00 به قبل
CENTUM VP Basic نسخه R4.03.00 و R5.04.00 به قبل
Exaopc نسخه R3.72.10 به قبل
در ادامه به منظور برقراری امنیت بیشتر در شبکه، پیشنهاد میشود که اقدامات زیر انجام شود:
ایزوله کردن سیستمهای کنترل صنعتی از اینترنت
شبکه سیستمهای کنترل صنعتی و تجهیزات متصل به آن را پشت دیوارآتش قرار داده و از شبکه اداری جدا کنیم
زمانی که اپراتورها نیاز به دسترسی از راه دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیبپذیر باشند و باید به صورت پیوسته بروز شوند)
کد: 50017320
زمان انتشار: سه شنبه 24 مهر 1397 08:30 ب.ظ
منبع: ICS-CERT
تعداد نمایش: 37
ما را در شبکه های اجتماعی دنبال کنید