بررسی اجمالی آسیب‌پذیری

محققی به نام Ivan Sanchez از شرکت NullCode و Evilcode Team آسیب‌پذیری چندگانه DLL Hijacking را در اجزای نرم افزاری که شامل محصول FactoryTalk View Studio از شرکت Rockwell Automation شناسایی کرده است. در همین راستا شرکت Rockwell Automation فایل بروز رسانی شده‌ای را به منظور کاهش آسیب‌پذیری ارائه کرده است. بهره‌برداری موفق از آسیب‌پذیری‌های DLL Hijack به مهاجم اجازه می دهد که دسترسی سطح privilege را از سیستم بگیرد. تاثیراتی که این آسیب‌پذیری برای سازمان‌ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

سابقه محصول آسیب پذیر

Automation یک شرکت آمریکایی می باشد که محصولات اطلاعاتی و کنترلی صنعتی تولید می کند. این محصول طیف وسیعی از محصولات صنعتی را شامل می شود. محصول آسیب پذیر FactoryTalk Services Platform و FactoryTalk View Studio می باشد. این محصولات در طیف وسیعی از محصولات کنترلی و اپراتوری صنعتی مورد استفاده واقع شده است. بر اسا گزارش شرکت Rockwell Automation این محصول در حوزه‌های نظیر شیمیایی، تاسیسات تجاری، زیر ساخت‌های حیاتی، انرژی، تاسیات تجاری، سیستم‌های آب و فاضلاب و ... مورد استفاده واقع شده است . این محصولات به صورت جهانی مورد استفاده واقع شده است.

محصولات آسیب پذیر

• مامی نسخه‌های FactoryTalk Services Platform تا قبل از نسخه 2.71.00
• تمامی نسخه‌های FactoryTalk View Studio تا قبل از نسخه 8.00.00

بهره‌برداری از آسیب‌پذیری

تشریح آسیب‌پذیری به شرح زیر می باشد.

UNCONTROLLED SEARCH PATH ELEMENT

بهره برداری موفق از این آسیب‌پذیری نیازمند این است که یک کاربر محلی (local) DLL ایجاد شده (دستکاری شده) را بر روی سیستم (ماشین) قربانی بارگزاری کند. اپلیکیشن View Studio Clean Utility ، DLL را بارگزاری کرده و همان دسترسی که در سطح privilege را دارد، به مهاجم می دهد. شناسه CVE-2014-9209 به این آسیب‌پذیری اختصاص یافته است. بهره برداری از این آسیب‌پذیری دشوار می باشد؛ به طوری که نیازمند مهندسی اجتماعی بوده که بتوان کاربر سیستم را راضی به اجرای فایل مخرب تنظیمات کرد. مضافا باید با کاربر تعامل کرد که DLL مخرب را نیز بارگذاری کند. این رویه موجب می شود که بهره برداری موفق احتمال کمتری به وقوع بپیوندد.

توصیه نامه

در راستای کاهش آسیب‌پذیری شناسایی شده، شرکت Rockwell Automation نسخه‌های بروز رسانی شده ای را در اختیار کاربران خود (در آدرس‌های زیر) قرار داده است. ضمنا این شرکت به کاربران خود توصیه کرده است که از آدرس‌های بهره برداری کرده و فایل‌های بروز رسانی شده را در سیستم‌های خود نصب کنند.

• https://rockwellautomation.custhelp.com/app/answers/detail/a_id/646323

در ادامه به منظور بهبود امنیت سایبری در سیستم‌های کنترل صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود:

• بازرسی امنیت فیزیکی، پیرامونی و محیطی
• ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند
• تست‌نفوذ زیرساخت کنترل صنعتی
• وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل 
• امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق
• استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی
• استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode
• پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری
• زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)