جزییات آسیب‌پذیری تجهیزات صنعتی زیمنس

به گزارش پایداری ملی، برخی مراکز داده کشور اواخر هفته گذشته با حمله سایبری مواجه شدند و تعدادی از مسیریاب‌های کوچک به تنظیمات کارخانه‌ای تغییر یافتند. دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بود و هر سیستم عاملی که این ویژگی بر روی آن فعال بود، در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانستند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.

این اتفاق هرچند که به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) چندی قبل‌تر هشدار داده شده بود اما نشان داد که لزوم اطلاع رسانی دقیق‌تر و شفاف‌تر از سوی مراجع ذی ربط احساس می‌شود و چراغ قرمزی بود برای مدیران سیستم‌های امنیتی سازمانها و ارگان‌ها و ادارات تا با استفاده راهکارهای لازم از سیستم‌ها محافظت و پشتیبانی کنند.

در این حوزه اما مشکلات مشابه آنچه که برای سیسکو رخ داده، برای زیمنس هم رخ داده که قابل توجه است؛ در ماه مارس ۲۰۱۸ گزارشی مبنی بر آسیب ‌پذیری بر روی چند کنترل کننده و کارت‌های شبکه صنعتی زیمنس با شناسه CVE-۲۰۱۸-۴۸۴۳ منتشر شده است.

آسیب‌پذیری مذکور بر اساس اعتبارسنجی نامناسب ورودی است که به مهاجم امکان ایجاد شرایط انکار سرویس را از طریق بسته‌های شبکه PROFINET DCP می‌دهد. برای سوء استفاده از این آسیب‌ پذیری، دسترسی مستقیم به لایه دوم OSI این محصولات نیاز است و در صورت اکسپلویت موفقیت آمیز آسیب‌ پذیری، برای بازیابی سیستم باید تجهیزات به طور دستی مجدداً راه‌اندازی شوند.

در حال حاضر زیمنس برای چندین محصول به روزرسانی منتشر کرده است و در حال بررسی به روزرسانی دیگر محصولات باقی‌مانده است و تا زمان در دسترس قرار گرفتن به روزرسانی‌ ها راه‌های مقابله‌ای را پیشنهاد کرده است.

اعتبارسنجی نامناسب ورودی می‌تواند منجر به اجرای کد، انکار سرویس و گم شدن داده‌ها شود که دشمن شماره یک سلامت نرم افزار است. اگر مطمئن نشوید اطلاعات ورودی دقیقاً با انتظارات همخوانی دارند، با مشکل مواجه خواهید شد. برای مثال در جایی که انتظار دارید یک شناسه عددی وارد شود، ورودی به هیچ وجه نباید شامل داده های کاراکتری باشد.

در برنامه‌های کاربردی واقعی، نیازهای اعتبارسنجی اغلب پیچیده‌تر از حالت ساده مذکور هستند. اعتبارسنجی نامناسب منجر به آسیب‌پذیری می‌شود، زیرا مهاجمان قادرند ورودی را با روش‌های غیر قابل انتظار دستکاری کنند. امروزه بسیاری از آسیب پذیری‌های مشترک و معمول می‌توانند با اعتبارسنجی مناسب ورودی از بین رفته و یا به حداقل کاهش پیدا کنند.

بر اساس اطلاعات سایت مرکز مدیریت راهبردی افتا، پاسخ به درخواست PROFINET DCP با بسته‌ای دستکاری شده می‌تواند منجر به ایجاد وضعیت انکار سرویس در سیستم درخواست‌کننده شود. در واقع می‌توان گفت آسیب‌پذیری مذکور ویژگی دسترس‌پذیری عملکردهای اصلی محصول را تحت‌تاثیر قرار می‌دهد. این آسیب‌پذیری با دسترسی مستقیم حمله کننده‌ای که در همان بخش Ethernet (لایه دوم OSI) دستگاه مورد هدف قرار دارد، می‌تواند مورد سوء استفاده قرار گیرد.  

راه‌های مقابله

زیمنس علاوه بر به‌روزرسانی محصولات متاثر، راه‌های زیر را به منظور کاهش مخاطره به مشتریان ارایه کرده است:

- پیاده‌سازی مفهوم حفاظت از zone های شبکه کنترل و اتوماسیون
- استفاده از VPN برای حفاظت از ارتباطات شبکه‌ای بین zone ها
- پیاده‌سازی دفاع در عمق

توصیه‌ها

- حفاظت از دسترسی شبکه به دستگاه‌ها با استفاده از مکانیزم‌های مناسب
- مجزا کردن شبکه صنعتی از سایر شبکه‌های اداری/داخلی
- اجتناب از اتصال شبکه صنعتی به اینترنت
- به‌روزرسانی‌ نرم افزارهای صنعتی مطابق با روش‌های پیشنهاد شده توسط سازنده
- اجرای راهکارهای امنیتی پیشنهاد شده توسط سازنده