بررسی اجمالی آسیب‌پذیری

دو محقق با نام Tod Beardsley از شرکت Rapid7 و Jim Denaro از شرکت CipherLaw توانستند که آسیب‌پذیری احراز هویت از محصولات شرکت یوکوگاوا را شناسایی کنند. محصول آسیب‌پذیر سری CENTUM CS 3000 و سرور Exaopc می‌باشد. این آسیب‌پذیری می تواند از راه دور مورد بهره‌برداری قرار گیرد. ضمنا کد بهره‌برداری این آسیب‌پذیری به صورت عمومی وجود دارد. شرکت‌های JPCERT و Yokogawa این آسیب‌پذیری را کاهش داده اند. بهره‌برداری موفق از این آسیب‌پذیری به مهاجم اجازه می دهد که فایل‌های دلخواه خود را بخواند و یا بنویسد. تاثیراتی که این آسیب‌پذیری برای سازمان ها ایجاد می‌کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

سابقه محصول آسیب‌پذیر

یوکوگاوا شرکتی است که در ژاپن می‌باشد و در سراسر دنیا از جمله شمال و مرکز آمریکا، آمریکای جنوبی، اروپا، آفریقا، جنوب آسیا. آسیای شرقی دفتر دارد. محصول آسیب‌پذیر CENTUM CS 3000 ، در بستر ویندوز می‌باشد. بر اساس گزارش یوکوگاوا، این محصول در حوزه‌هایی چون تولیدات حساس، انرژی، غذا و کشاورزی و.... به کار رفته است. همچنین این شرکت اعلام کرده است که به طور تقریبی در حدود 7600 سیستم در سراسر دنیا از محصولات این شرکت می‌باشد. نکته قابل توجه اینجاست که فاز 1 تا 10 پارس جنوبی از CENTUM CS 3000 استفاده کرده است.

بهره‌برداری از آسیب‌پذیری

جزئیات آسیب‌پذیری به شرح زیر می‌باشد:

IMPROPER AUTHENTICATION (نامناسب بودن تایید احراز هویت)

سرویس BKBCopyD.exe در CENTUM زمانی که پکیج مدیریتی (Batch Management Packages) نصب می‌شود، به صورت پیش فرض در پورت 20111/TCP شروع به کار می‌کند. در این رویه، هیچ احراز هویتی انجام نمی‌شود و این امکان را برای مهاجمان فراهم می‌کند تا از سرویس‌های زیر سوء استفاده کنند:

• نشت اطلاعات محل پایگاه داده پروژه CENTUM

• خواندن فایل‌های دلخواه

• نوشتن فایل‌های دلخواه

CVE-2014-5208 به این آسیب‌پذیری اختصاص یافته است. لازم به ذکر است که در مارس 2014 آسیب‌پذیری مشابه با مشخصات CVE-2014-0784 گزارش شده است که متفاوت با این آسیب‌پذیری می‌باشد. یک مهاجم با سطح پایین می تواند از این آسیب‌پذیری بهره‌برداری کند.

شرکت یوکوگاوا نرم‌افزار پچی را به منظور کاهش این آسیب‌پذیری در سپتامبر 2014 ارائه کرده است. این شرکت به کاربران محصولات CENTUM 3000 اکیدا پیشنهاد کرده است تا با مسئولین فنی این شرکت تماس گرفته و نسبت به کاهش این آسیب‌پذیری اقدامات لازم را اعمال کنند. همچنین این شرکت به کاربران خود پیشنهاد کرده است تا به آدرس زیر مراجعه کنند:

• http://www.yokogawa.com/dcs/security/ysar/dcs-ysar-index-en.htm

در ادامه این شرکت پیشنهادات زیر را ارائه کرده است:

• هر گونه تبادل اطلاعات (مخصوصا از خارج) که از پورت 20111/TCP انجام می گیرد را بلاک کنند

• فقط به کاربران پکیج مدیریتی بچ (Batch Management Packages) اجازه دهند تا از ترافیک داخلی روی پورت 20111/TCP استفاده کنند

• ترافیک پورت 20111/TCP را در Exaopc بلاک کنند

محصولات آسیب‌پذیر

• CENTUM CS 3000 نسخه R3.09.50 به قبل

• CENTUM CS 3000 Small نسخه R3.09.50 به قبل

• CENTUM VP نسخه R4.03.00 و R5.04.00 به قبل

• CENTUM VP Small نسخه R4.03.00 و R5.04.00 به قبل

• CENTUM VP Basic نسخه R4.03.00 و R5.04.00 به قبل

• Exaopc نسخه R3.72.10 به قبل

توصیه نامه

در ادامه به منظور برقراری امنیت بیشتر در شبکه، پیشنهاد می‌شود که اقدامات زیر انجام شود:

• ایزوله کردن سیستم‌های کنترل صنعتی از اینترنت

• شبکه سیستم‌های کنترل صنعتی و تجهیزات متصل به آن را پشت دیوارآتش قرار داده و از شبکه اداری جدا کنیم

• زمانی که اپراتورها نیاز به دسترسی از راه دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب‌پذیر باشند و باید به صورت پیوسته بروز شوند)