Istraživači ICS CERT tima kompanije Kaspersky otkrili su nekoliko slabosti u popularnom okviru koji je korišćen za razvoj industrijskih uređaja poput programabilnih logičkih kontrolera (PLC) i interfejsa čovek-mašina (HMI). Ovi uređaji su u centru skoro svakog industrijskog postrojenja – od kritične infrastrukture do procesa proizvodnje. Neotkrivene slabosti su potencijalno omogućavale napadaču da preduzme skrivene destruktivne udaljene i lokalne napade na organizaciju u kojoj se koriste logički kontroleri razvijeni kroz ovaj ranjivi okvir. Okvir je razvijen od strane kompanije CODESYS® i slabosti su popravljene od strane vendora nakon izveštaja kompanije Kaspersky.
PLC-jevi su uređaji koji automatizuju procese koji su ranije morali biti vršeni ručno ili uz pomoć kompleksnih elektro-mehaničkih uređaja. Kako bi PLC radio kako treba, ovi uređaji moraju biti programirani. Ovo programiranje se vrši putem specijalnog softverskog okvira koji pomaže inžinjerima da kodiraju i otpreme program sa instrukcijama za automatizovanje procesa na PLC. Ovo takođe obezbeđuje okruženje izvršenja za programski kod PLC-ja. Ovaj softver se koristi u raznim okruženjima, uključujući proizvodnju, proizvodnju energije, infrastrukturu pametnih gradova i mnogim drugim. Kako su otkrili istraživači kompanije Kaspersky, ovakvi softveri mogu postati ranjivi i ometeni.
Istraživači su analizirali sofisticiran i moćan alat dizajniran za razvoj i kontrolu PLC programa. Kao rezultat, uspeli su da identifikuju više od 12 bezbednosnih problema u glavnom mrežnom protokolu okvira, od kojih su 4 prepoznata kao naročito opasni i opisani su posebnim identifikacijama: CVE-2018-10612, CVE-2018-20026, CVE-2019-9013, i CVE-2018-20025.
U zavisnosti od toga koju od ovih slabosti bi iskoristio, napadač bi bio u mogućnosti da presretne i falsifikuje mrežne komande i nedostatke telemetrijskih podataka, ukrade i ponovo koristi šifre i druge informacije za autentikaciju, ubaci maliciozne kodove i podigne svoje privilegije u sistemu kao i druge neautorizovane akcije – od kojih sve kriju prisustvo napadača na napadnutoj mreži. U praksi to znači da bi jedan napadač bio u mogućnosti da ošteti funkcionalnost PLC-jeva u određenom postrojenju ili da dobije punu kontrolu nad njim, istovremeno ostajući ispod radara osoblja za operacionu tehnologiju (OP) napadnutog postrojenja. Napadači bi zatim mogli da ometaju operacije ili kradu osetljive podatke, kao što je intelektualna svojina i druge poverljive informacije, kao proizvodne mogućnosti postrojenja ili novi proizvodi u proizvodnji. Ovo je samo dodatak mogućnosti da nadgledaju operacije postrojenja i prikupljaju druge informacije koje bi mogle biti smatrane osetljivim u napadnutoj organizaciji.
Nakon ovog otkrića, kompanija Kaspersky je odmah obavestila vendora pogođenog softvera o ovim problemima. Sve prijavljene slabosti su sada popravljene i pečevi su dostupni korisnicima.
“Slabosti koje smo otkrili su pružale ekstremno široku površinu za napade i potencijalno maliciozno ponašanje i, imajući u vidu koliko je raširen softver o kome je reč, zahvalni smo vendoru softvera na blagovremenoj reakciji i mogućnosti da brzo poprave ove probleme. Voleli bismo da mislimo da smo kao rezultat ovog istraživanja uspeli da napadačimo značajno otežamo posao. Međutim, mnoge od ovih slabosti bile bi otkrivene ranije, da je bezbednosna zajednica bila uključena u razvoj mrežnog komunikacijskog protokola u ranijim fazama. Verujemo da saradnja sa bezbednosnom zajednicom treba da postane dobra praksa za programere važnih komponenti industrijskih sistema – uključujući i hardver i softver. Naročito imajući u vidu da je takozvana Indutrija 4.0 koja je u velikom delu bazirana na modernim automatizovanim tehnologijama odmah iza ugla,” izjavio je Aleksandar Nočvej (Alexander Nochvay), istraživač bezbednosti u ICS CERT timu kompanije Kaspersky.
„Bezbednosti proizvoda je od izuzetnog značaja za CODESYS grupu. Stoga mi cenimo rezultate sveobuhvatnog istraživanja kompanije Kaspersky – oni nam pomažu da učinimo CODESYS još sigurnijim. Godinama ulažemo značajne tehničke i administrativne napore kako bismo trajno unapredili bezbednosne funkcije okvira CODESYS. Sve otkrivene ranjivosti se momentalno istražuju, procenjuju, prioritizuju i obajvljuju u bezbednosnom savetu. Popravke u formi ažuriranja softvera se brzo razvijaju i momentalno čine dostupnim svim CODESYS korisnicima u CODESYS prodavnici,“ – rekao je Roland Vagner (Roland Wagner), direktor proizvodnog marketinga u CODESYS grupaciji.
Kako bi rešili potencijalne rizike koje eksploatacija navedenih problema donosi, stručnjaci kompanije Kaspersky preporučuju sledeće mere:
· Programerima koji koriste okvir se savetuje da zahtevaju ažuriranu verziju i naknadno ažuriraju firmver za uređaje ako su kreirani uz pomoć ovog okvira
· Industrijskim inžinjerima se savetuje da razmotre ažuriranje firmvera na svojim uređajima u skladu sa postpucima upravljanja zakrpama svog preduzeća ukoliko je uređaj kreiran uz pomoć ovog okvira i ako je programer uređaja izdao relevantne ispravke za svoj proizvod
· Uređaji na kojima su raspoređena razvojna okruženja i/ili SCADA treba da budu opremljeni sa relevantnom zaštitom
· Uređaji koji se koriste u industrijskom okruženju treba da rade u izolovanim, ograničenim mrežama
· Dok se zakrpe za firmver ne primene, bezbednosni timovi koji čuvaju industrijske mreže bi trebalo da razmotre upotrebu specifičnih mera, poput rešenja za otkrivanje usmerenih napada, nadzor industrijske mreže, održavanje redovnih obuka IT i OT osoblja i druge bezbednosne mere neophodne radi zaštite od sofisticiranih pretnji