بررسی اجمالی آسیب پذیری

Narvaja و Joaquín Rodríguez از شرکت Core Security به تازگی آسیب پذیری buffer overflow را در محصولات اشنایدر الکتریک گزارش کرده است. این آسیب پذیری در نرم افزار VAMPSET وجود دارد. آنها این آسیب پذیری را مستقیما به اشنایدر گزارش کرده است. شرکت اشنایدر الکتریک فایل بروز رسانی را به منظور کاهش این آسیب پذیری ارائه کرده است.

نرم افزار VAMPSET، زمانی که یک فایل مخرب باز می شود، متوقف می شود. در این آسیب پذیری مهاجم می‌تواند کدهای دلخواه خود را اجرا کند. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

سابقه محصول آسیب پذیر

اشنایدر الکتریک یک شرکت تولید تجهیزات الکتریکی بوده که دفتر مرکزی آن در شهر پاریس قرار دارد. هم اکنون این شرکت در بیش از 100 کشور در سراسر دنیا شعبه دارد. نرم افزار VAMPSET به منظور پیکربندی و تعمیرات و نگهداری از رله های محافظتی و مانیتورینگ آرک (جرقه های بزرگ) مورد استفاده قرار می گیرد. بر اساس اطلاعاتی که شرکت اشنایدر انتشار داده است، این محصول در بخش انرژی این شرکت مستقر می باشد؛ ضمنا به طور میانگین 60 کشور در دنیا از این محصول استفاده کرده اند.

محصولات آسیب پذیر

نرم افزار VAMPSET نسخه 2.2.145 و تمامی نسخه های قبلی

بهره برداری از آسیب پذیری

جزئیات آسیب پذیری گزارش شده به شرح زیر می باشد:

STACK-BASED BUFFER OVERFLOWVAMPSET به حمله Stack-based buffer overflow و Heap-based buffer overflow آسیب پذیر می باشد. این حمله از طریق فایل های DAT یا CFG مخرب به خصوصی به مهاجمان اجازه می دهد که کدهای دلخواه خود را اجرا کنند. این فایل های مخرب موجب می شود تا VAMPSE در زمانی که به حالت stand-alone و در حالی که به رله حفاظتی متصل نمی باشد، crash کند. این آسیب پذیری تاثیری بر سیستم عامل Windows ندارد. ضمنا شناسه CVE-2014-8390 به این آسیب پذیری اختصاص یافته است. بهره براداری از این آسیب پذیری دشوار می باشد؛ به طوری که نیازمند مهندسی اجتماعی بوده که بتوان کاربر سیستم را راضی به اجرای فایل مخرب تنظیمات کرد. مضافا باید با کاربر تعامل کرد که فایل مخرب را نیز بارگذاری کند. این رویه موجب می شود که بهره برداری موفق احتمال کمتری به وقوع بپیوندد.

توصیه نامه

به منظور کاهش آسیب پذیری موجود، شرکت اشنایدر الکتریک آپدیتی را در آدرس زیر ارائه کرده است:

• http://www2.schneiderelectric.com/sites/corporate/en/support/cybersecurity/cyber-security-vulnerabilities-sorted.page/

همچنین این شرکت پیشنهاد می کند که تمامی کاربرانی که از این محصول نرم افزاری استفاده می کنند، این آپدیت را نصب کنند.

در ادامه به منظور بهبود امنیت سایبری در سیستم‌های کنترل صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود:

• بازرسی امنیت فیزیکی، پیرامونی و محیطی
• ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند
• تست‌نفوذ زیرساخت کنترل صنعتی
• وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل 
• امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق
• استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی
• استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode
• پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری
• زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)