بررسی اجمالی آسیبپذیری

محققان ناشناسی که با شرکت HP’s Zero Day همکاری می کنند آسیب‌پذیری stack-based buffer overflow را در نرم افزار PROMOTIC محصول شرکت MICROSYS, spol. s r.o. شناسایی کردند. در همین راستا این شرکت نسخه بروز رسانی شده ای را در راستای کاهش آسیب‌پذیری گزارش شده ارائه کرده است. این آسیب‌پذیری قابلیت بهره‌برداری از راه دور را دارد. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به DoS شدن سیستم و یا نشت اطلاعات شود. . تاثیراتی که این آسیب‌پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

سابقه محصول آسیب پذیر

MICROSYS, spol. s r.o. یک شرکت در چک بوده که دفتر مرکزی آن در شهر صنعتی اوستراوا (Ostrava) می باشد. PROMOTIC یک نرم افزار ویندوزی می باشد که به منظور نظارت و بررسی سیستم های اسکادا (SCADA HMI) مورد استفاده قرار می گیرد. این نرم افزار به منظور مانیتورینگ، کنترل و نمایش پردازش های فنی استفاده می شود. این نرم افزار از رابط های وبی نیز پشتیبانی می کند. بر اساس گزارش MICROSYS, spol. s r.o. ، نرم افزار PROMOTIC در حوزه هایی چون زیر ساخت های حساس، انرژی، سیستم های آب و فاضلاب و ... مورد استفاده قرار گرفته است. سیستم PROMOTIC در ابتدا در جمهوری چک واسلواکی استفاده شده است. این محصول همچنین در لهستان، مجارستان، اسلوونی، صربستان، بلغارستان و رومانی استفاده شده است.

محصولات آسیب پذیر

• نرم افزار PROMOTIC تا قبل از نسخه stable 8.2.19
• نرم افزار PROMOTIC تا قبل از نسخه development 8.3.2

بهره‌برداری از آسیب‌پذیری

تشریح آسیب‌پذیری به شرح زیر می باشد.

STACK-BASED BUFFER OVERFLOW

ابزار نمایش این محصول دارای آسیب‌پذیری stack-based overflow می باشد. این آسیب‌پذیری تنها زمانی وجود دارد که نرم افزار در حال اجرا باشد. این مسئله باعث محدود شدن بهره‌برداری از این آسیب‌پذیری می باشد. شناسه CVE-2014-9205 به این آسیب‌پذیری اختصاص یافته است. این آسیب‌پذیری قابلیت بهره‌برداری از راه دور را داشته و یک مهاجم با سطح توانایی پایین می‌تواند از این آسیب‌پذیری بهره‌برداری موفق داشته باشد. این آسیب‌پذیری تنها زمانی وجود دارد که نرم افزار در حال اجرا باشد.

توصیه نامه

در همین راستا شرکت زیمنس در تلاش است تا نسخه های بروز رسانی شده ای از محصولات آسیب پذیر را ارائه کرده و به کاربران خود توصیه می کند تا این نسخه ها را دانلود و نصب کنند. در ادامه این شرکت از کاربران خود خواسته تا به آدرس های زیر مراجعه کنند.

• http://www.promotic.eu/en/promotic/download/download.htm
• http://www.promotic.eu/en/pmdoc/News.htm#ver80105

در ادامه به منظور بهبود امنیت سایبری در سیستم‌های کنترل صنعتی، پیشنهاد می‌شود که اقدامات زیر انجام شود:

• بازرسی امنیت فیزیکی، پیرامونی و محیطی
• ارزیابی سیاست‌های امنیتی اعمال شده که باعث می‌شود آسیب‌پذیری‌های بالقوه کاهش پیدا کند
• تست‌نفوذ زیرساخت کنترل صنعتی
• وصله کردن آسیب‌پذیری‌ها با توجه به گزارش‌های تولید شده در سه بخش قبل 
• امن‌سازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق
• استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی
• استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode
• پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری
• زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)