نوشته شده در دیدگاه‌تان را بنویسید

🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Advantech WebAccess/SCADA

اطلاعیه قانونی
تمام اطلاعات مربوط به محصولاتی که در وبسایت تخصصی ICSCERT.IR    ارائه شده است فقط برای مقاصد اطلاعاتی و امن سازی زیرساختهای حوزه اتوماسیون و کنترل صنعتی میباشد. وبسایت تخصصی ICSCERT.IR    هیچ گونه ضمانتی در قبال هرنوع سوء برداشت از اطلاعات ارائه شده ارائه نمی دهد. وبسایت تخصصی ICSCERT.IR     هیچ ضمانتی درقبال محصولات تجاری یا خدماتی که در این سایت یا در لینکهای دیگربه آنها اشاره شده است، ندارد.

  1. خلاصه
    ☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
    ☣️ فروشنده: Advantech
    ☣️ تجهیزات: WebAccess / SCADA
    ☣️ آسیب پذیری: تزریق فرمان، سرریز بافر بوسیله پشته، کنترل دسترسی نامناسب
  2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها ممكن است باعث انكار سرویس و اجازه اجرای كد از راه دور شود.

  1. مشخصات فنی
    3.1 محصولات آسیب دیده

نسخه های زیر از WebAccess / SCADA، یک پلت فرم نرم افزاری SCADA، تحت تاثیر قرار می گیرند:

WebAccess / SCADA نسخه های 8.3.5 و قبل. 

3.2 مرور کلی آسیب پذیریها

3.2.1 ناکارآمدی فوری اجزای خاصی که در فرامین اجرایی (‘COMMAND INJECTION’) استفاده می شود

آسیب پذیری های چند دستور فرمان ناشی از فقدان اعتبار مناسب از داده های ارائه شده توسط کاربر ممکن است اجازه اجرای کد را بدهد.

3.2.2 سرریز بافر BUFFER OVERFLOW مبتنی بر STACK-BASED

آسیب پذیری های سرریز بافر چندگانه مبتنی بر پشته، ناشی از فقدان اعتبار مناسب از طول داده های ارائه شده توسط کاربر، ممکن است اجازه اجرای کد را بدهد.

3.2.3 کنترل دسترسی ارتقا یافته

یک آسیب پذیری کنترل دسترسی نامناسب ممکن است به مهاجم اجازه دهد که شرایط سرویس انکار سرویس را ایجاد کند.

3.3 نقاط آسیب پذیر:

⚠️ بخش های بحرانی : سیستم های تولید بحرانی، انرژی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: شرق آسیا، ایالات متحده، و اروپا
⚠️ محل کشف: تایوان

3.4 پژوهشگر

آقایان Mat Powell و Natnael Samson (NattiSamson) در حال کار با Trend Micro Initial Day Zero (ZDI) این آسیب پذیری ها را گزارش کردند.

  1. نحوه رفع مشکل:
    شرکت Advantech نسخه 8.4.0 از WebAccess / SCADA را برای رفع آسیب پذیری های گزارش شده منتشر کرده است. کاربران می توانند آخرین نسخه WebAccess / SCADA را در محل زیر دانلود کنند (ثبت نام لازم است):

https://support.advantech.com/support/DownloadSRDetail_New.aspx؟SR_ID=1-MS9MJV&Doc_Source=Download

✅ وبسایت تخصصی ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅ وبسایت تخصصی ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

✅ وبسایت تخصصی ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.

🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به وبسایت تخصصی ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این سایت صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭همچنین میتوانید آخرین اخبار سایت را از کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی به نشانی زیر دنبال کنید
https://t.me/ics_cert

نوشته شده در دیدگاه‌تان را بنویسید

کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Rockwell Automation PowerFlex 525 AC Drives

اطلاعیه قانونی
تمام اطلاعات مربوط به محصولاتی که در وبسایت تخصصی ICSCERT.IR    ارائه شده است فقط برای مقاصد اطلاعاتی و امن سازی زیرساختهای حوزه اتوماسیون و کنترل صنعتی میباشد. وبسایت تخصصی ICSCERT.IR    هیچ گونه ضمانتی در قبال هرنوع سوء برداشت از اطلاعات ارائه شده ارائه نمی دهد. وبسایت تخصصی ICSCERT.IR     هیچ ضمانتی درقبال محصولات تجاری یا خدماتی که در این سایت یا در لینکهای دیگربه آنها اشاره شده است، ندارد.

  1. خلاصه
    ☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
    ☣️ فروشنده: Rockwell Automation
    ☣️ تجهیزات: PowerFlex 525 AC درایو
    ☣️ آسیب پذیری: Resource Exhaustion
  2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری می تواند منجر به Resource Exhaustion، انکار سرویس و / یا تخریب حافظه شود.

  1. مشخصات فنی
    3.1 محصولات آسیب دیده

نسخه های زیر PowerFlex 525، یک درایو AC، تحت تاثیر قرار می گیرند:

PowerFlex 525 AC درایور با EtherNet / IP جاسازی شده و ایمنی نسخه 5.001 و قبل از آن. 

3.2 مرور کلی آسیب پذیریها

3.2.1 مصرف منابع منحصربفرد (“خروج منابع”)

بازیابی تهدید از راه دور، ناآگاهانه میتواند بارها و بارها بسته های خاص CIP را به یک درایو PowerFlex 525 آسیب برساند، که ممکن است باعث اختلال در دسترس بودن دستگاه شود.

3.3 نقاط آسیب پذیر:

⚠️ بخش های بحرانی INFASTRUCTURE: تولید بحرانی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: ایالات متحده

3.4 پژوهشگر

Nicolas Merle از خطر کاربردی این آسیب پذیری را به Rockwell Automation گزارش کرد.

  1. نحوه رفع مشکل:

▪️شرکتRockwell Automation سیستم عامل جدیدی را برای رفع آسیب پذیری عرضه کرده است. آخرین نسخه سیستم عامل را از لینک زیر دریافت کنید:

https://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx؟Keyword=25B&crumb=112

▪️شرکتRockwell Automation توصیه های کلی امنیتی زیر را توصیه می کند:

🔸 از کنترل های زیربنایی شبکه مناسب مانند فایروال استفاده کنید تا اطمینان حاصل کنید پیام های CIP از منابع غیر مجاز مسدود می شوند.
🔸 مسدود کردن یا محدود کردن دسترسی به TCP و UDP پورت 2222 و پورت 44818 با استفاده از کنترل های زیرساختی مناسب شبکه، مانند فایروال، دستگاه های UTM یا سایر تجهیزات امنیتی، تمام ترافیک را به EtherNet / IP یا سایر دستگاه های مبتنی بر پروتکل CIP از خارج از منطقه تولید متوقف کند. لوازم خانگی برای اطلاعات بیشتر در مورد پورت های TCP / UDP استفاده شده توسط Rockwell Automation Products، مراجعه کنید به پایگاه داده Knowledgebase ID 898270 (ورود به سیستم).
🔸 در صورت لزوم، مستندات محصول را برای ویژگی های خاص بکارگیرید، مانند تنظیمات سوئیچ سخت افزاری که ممکن است برای جلوگیری از تغییرات غیر مجاز استفاده شود.
🔸 از نرم افزارهای قابل اعتماد، تکه های نرم افزاری، برنامه های آنتی ویروس / ضد ویروس استفاده کنید و فقط با وبسایت های معتبر و پیوست ها ارتباط برقرار کنید.
🔸 به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از دسترسی آنها از اینترنت یا شبکه کسب و کار.
🔸 هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های خصوصی مجازی (VPN ها) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود در آنها به روز شود.

▪️شرکت Rockwell Automation یک مشاوره امنیتی در مورد این آسیب پذیری منتشر کرده است که می تواند در وب سایت شرکت در محل زیر (Login required) یافت شود:
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1082684

✅ وبسایت تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅ وبسایت تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.

🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این وبسایت صرفا با ذکر منبع و آدرس کامل وبسایت مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert