بررسی اجمالی آسیب‌پذیری

محققی به نام Jürgen Bilberger از شرکت Daimler TSS GmbH آسیب‌پذیری تزریق کد را در نرم‌افزار IntraVue محصول شرکت Network Vision شناسایی کرده است. در همین راستا شرکت Network Vision نسخه جدیدی از نرم‌افزار خود را به منظور کاهش آسیب‌پذیری گزارش شده ارائه کرده است. این آسیب‌پذیری قابلیت بهره‌برداری از راه دور را دارد. بهره‌برداری موفق از این آسیب‌پذیری به مهاجمان اجازه می دهد که از راه دور به عنوان یک کاربر بدون احراز هویت دستورات (در سیستم عامل) دلخواه خود را اجرا کند. اجرای این کدها می تواند محرمانگی، یکپارچگی و دسترسی را در سرورهای آلوده تحت تاثیر قرار دهد. تاثیراتی که این آسیب‌پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

سابقه محصول آسیب پذیر

Network Vision یک شرکت آمریکایی می باشد که دفتر مرکزی آن در نیوبوریپورت (ماساچوست) است. بسته نرم‌افزاری IntraVue که به منظور بصری سازی شبکه مورد استفاده قرار می گیرد، به عنوان محصول آسیب‌پذیری می باشد. بر اساس گزارشات شرکت Network Vision، بسته نرم‌افزاری IntraVue به صورت گسترده در حوزه هایی نظیر زیر ساخت های حساس، سیستم های حمل و نقل و سیستم های آب و فاضلاب مورد استفاده واقع شده است. شرکت Network Vision برآورد کرده است که این محصول به صورت جهانی و با نسبت بالایی در آمریکای شمالی و اروپا مورد استفاده قرار گرفته است.

محصولات آسیب پذیر

نرم‌افزار IntraVue در تمامی نسخه های Windows تا قبل از نسخه 2.3.0a14

بهره‌برداری از آسیب‌پذیری

تشریح آسیب‌پذیری به شرح زیر می باشد.

OS COMMAND INJECTION

این آسیب‌پذیری می تواند توسط یک کاربر بدون احراز هویت بهره‌برداری شود. در این آسیب‌پذیری مهاجم می‌تواند از راه دور کدهای OS (سیستم عاملی) دلخواه خود را از راه دور بر روسیستم سرورها تاثیر بگزارد. شناسه CVE-2015-0977 به این آسیب‌پذیری اختصاص یافته است. این آسیب‌پذیری قابلیت بهره‌برداری از راه دور ار داشته و یک مهاجم با سطح توانایی پایین می تواند بهره‌برداری موفق از این آسیب‌پذیری داشته باشد.

توصیه نامه

در همین راستا شرکت Network Vision نسخه جدیدی از نرم‌افزار IntraVues را ارائه کرده است که آسیب‌پذیری تزریق کد را کاهش می دهد. در ادامه به منظور بهبود امنیت سایبری در سیستم‌های کنترل صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود:

• بازرسی امنیت فیزیکی، پیرامونی و محیطی
• ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند
• تست‌نفوذ زیرساخت کنترل صنعتی
• وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل 
• امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق
• استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی
• استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode
• پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری
• زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)

بهره‌برداری از آسیب‌پذیری

تشریح آسیب‌پذیری به شرح زیر می باشد.

STACK-BASED BUFFER OVERFLOW

آسیب‌پذیری شناسایی شده شامل ایجاد شرایط حمله stack buffer overflow در فایل DLL می باشد که می تواند منجر به این شود که مهاجم بتواند کدهای دلخواه خود را اجرا کند. شناسه CVE-2014-9206 به این آسیب‌پذیری اختصاص یافته است. بهره‌برداری موفق از این آسیب‌پذیری از راه دور امکان نداشته و بدون تعامل با یک کاربر امکان پذیر نمی باشد. این آسیب‌پذیری زمانی قابل بهره‌برداری می باشد که یک کاربر فایل مخرب DLL را اجرا کند. به همین منظور، بهره‌برداری موفق از این آسیب‌پذیری دشوار می باشد. استفاده از مهندسی اجتماعی در بهره‌برداری از این آسیب‌پذیری، استفاده از آن را دشوار کرده است.