بررسی اجمالی آسیب پذیری

محققی به نام Martin Jartelius از شرکت Outpost24 آسیب پذیری پیمایش دایرکتوری (directory traversal) را در کنترلر وبی XL محصول شرکت Honeywell شناسایی کرده است. در همین راستا شرکت Honeywell فایل بروز رسانی شده ای را به منظور کاهش آسیب پذیری گزارش شده ارائه کرده است. این آسیب پذیری قابلیت بهره برداری از راه دور را دارد. یک مهاجم می تواند با بهره برداری از این آسیب پذیری، لاگین های معتبری را با سطح دسترسی Admin در کنترلر وبی XL شرکت Honeywell ایجاد کند. این لاگین ها به مهاجمان اجازه می دهد سطح دسترسی کامل به سیستم داشته باشند. برنامه XLWEB یک نقطه ورودی به شبکه می باشد که مهاجم می تواند از آن طریق شبکه را مکان یابی کند. . تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

 سابقه محصول آسیب پذیر

Honeywell یک شرکت آمریکایی می باشد که دفاتر زیادی در سراسر دنیا دارد. محصول آسیب پذیر کنترلرهای XLWeb می باشد. این تجهیز در سیستم های مبتنی بر وب در سیستم های اسکادا مورد استفاده قرار می گیرد. بر اساس گزارشی که شرکت Honeywell ارائه کرده است، این محصول در حوزه هایی نظیر زیر ساخت های حیاتی، انرژی، سیستم های آب و فاضلاب و ... مورد استفاده واقع شده است. ضمنا این شرکت برآورد کرده است که محصول آسیب پذیر در ابتدا در اروپا و خاورمیانه مورد استفاده قرار گرفته است.

محصولات آسیب پذیر

نسخه های زیر از کنترلرهای وبی XL آسیب پذیر می باشد.

• XL1000C50 EXCEL WEB 52 I/O
• XL1000C100 EXCEL WEB 104 I/O
• XL1000C500 EXCEL WEB 300 I/O
• XL1000C1000 EXCEL WEB 600 I/O
• XL1000C50U EXCEL WEB 52 I/O UUKL
• XL1000C100U EXCEL WEB 104 I/O UUKL
• XL1000C500U EXCEL WEB 300 I/O UUKL
• XL1000C1000U EXCEL WEB 600 I/O UUKL

بهره برداری از آسیب پذیری

تشریح آسیب پذیری به شرح زیر می باشد.

PATH TRAVERSAL با استفاده از آسیب پذیری پیمایش دایرکتوری (directory traversal) در سرور FTP، برای مهاجم این امکان فراهم می شود که دسترسی کامل از web root directory بگیرد. شناسه CVE-2015-0984 به این آسیب پذیری اختصاص یافته است. این آسیب پذیری قابلیت بهره برداری از راه دور را داشته و یک مهاجم با سطح مهارت پایین می تواند از این آسیب پذیری بهره برداری موفق داشته باشد.

توصیه نامه

در راستای کاهش آسیب پذیری شناسایی شده، شرکت Honeywell نسخه های بروز رسانی شده ای را در اختیار کاربران خود (در آدرس های زیر) قرار داده است. ضمنا این شرکت به کاربران خود توصیه کرده است که از آدرس های بهره برداری کرده و فایل های بروز رسانی شده را در سیستم های خود نصب کنند.

• http://www.centraline.com
• https://www.centraline.com/index.php?id=847&route=article/index&directory_id=140&direct_link=1
• https://www.centraline.com/index.php?id=847&route=article/index&directory_id=138&direct_link=1%20

در ادامه به منظور بهبود امنیت سایبری در سیستم‌های کنترل صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود:

• بازرسی امنیت فیزیکی، پیرامونی و محیطی
• ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند
• تست‌نفوذ زیرساخت کنترل صنعتی
• وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل 
• امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق
• استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی
• استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode
• پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری
• زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)