کرم‌واره PLC-Blaster سامانه‌های صنعتی را هدف قرار داده است

لاس‌وگاس- محققان امنیتی در کنفرانس بلک‌هت آمریکا اثبات مفهومی را برای بک بدافزار شرح داده‌اند که از نقاط ضعف درون سامانه‌های کنترل صنعتی استفاده می‌کند تا زیرساخت‌های حیاتی و ساخت و تولید را هدف قرار دهد.
به گفته‌ی شرکت امنیتی OpenSource این کرم‌واره‌واره‌(Worm) قابلیت این را دارد تا به‌صورت مستقل به جستجو پرداخته و خود را میان کنترل‌گرهای منطقی قابل برنامه‌ریزی متصل به شبکه گسترش دهد.
کرم‌واره PLC-Blaster برای این طراحی شده بود تا سامانه‌های PLC مدل SIMATIC S۷-۱۲۰۰ شرکت زیمنس را مورد هدف قرار دهد. شرکت زیمنس بزرگ‌ترین شرکت مهندسی اروپاست و یکی از رهبران بازار سهام PLC در دنیاست. شرکت زیمنس در ماه مارس کمی بعد از اینکه کرم‌واره کشف شد در کنفرانس بلک‌هت آسیا اعلام کرد که این کرم‌واره از یک آسیب‌پذیری در موتور شرکت زیمنس بهره‌برداری نکرده است.
مایک بروگمن که توسعه‌دهنده نرم‌افزار و مهندس امنیتی شرکت OpenSource Security است می‌گوید که کرم‌واره‌هایی مثل این تهدیدی برای همه‌ی انواع شبکه‌های صنعتی هستند.

بروگمن می‌گوید: «اکنون تهدیدهای جدیدی در سامانه‌های کنترل صنعتی ایجاد شده‌اند که به‌صورت سنتی در برابر حملات از بیرون به‌خوبی محافظت شده‌اند. اکنون دیگر می‌توان تصور کرد که یک کرم‌واره PLC بتواند به‌وسیله‌ی یکی از تأمین‌کنندگان یا از داخل سامانه‌های صنعتی گسترش پیدا کند. این فقط شرکت زیمنس نیست که باید نگران باشد. این کرم‌واره‌ها تهدیدی برای همه نوع شبکه‌های صنعتی هستند».
روز پنج‌شنبه در کنفرانس بلک‌هت آمریکا، بروگمن نشان داد که چگونه یک مهاجم با دسترسی فیزیکی یا دسترسی به یک شبکه PLC می‌تواند موفق شود تا کرم‌واره را وارد شبکه کرده و حمله‌ی خود را راه‌اندازی کند.
این کرم‌واره می‌تواند برنامه‌ریزی شده تا تعدادی از حملات مختلف را صورت دهد؛ و یا اینکه PLC های آلوده می‌توانند برنامه‌ریزی شوند تا به‌صورت خودکار با یک کارگزار کنترل و فرماندهی مهاجم ارتباط برقرار کنند و از راه دور کنترل شوند؛ با این فرض که یک PLC به یک اینترنت عمومی متصل شده باشد. این نوع حملات موجب خاموش شدن و یا دست‌کاری اجرای زیرساخت‌های حیاتی می‌شوند.

محققان ادعا کرده‌اند که موفقیت کرم‌واره بسته به معایب طراحی PLC به‌وسیله‌ی زیمنس دارد که بستر PLC را برای حمله از طریق کنسول مدیریتی به نام TIA Portal باز می‌کند. مورد اول به کد یک رایانه‌ای مربوط است که برای مدیریت دسترسی کلمه‌های عبور PLC و شماره سریال‌هایی که به نام Know how Protection و Copy Protection نام‌گذاری شده‌اند استفاده می‌شود. این ویژگی‌های قابلیت محافظت یکپارچه را ندارند و درنتیجه آن موجب می‌شوند که مهاجم بتواند بلاک‌های کدی را که به کلمه‌های عبور درهم وشماره‌سریال‌ها مرتبط هستند، بخواند و بنویسد و دست‌کاری کند. با انجام چنین کاری، یک پنجره برای مهاجم باز می‌شود تا بتواند از حفاظت‌های درگاه نرم‌افزاری TIA گذر کند تا بتواند یک PLC-Blaster را در درون این محیط بارگذاری کند.

بروگمن می‌گوید: «حفاظت درونی Knowhow دست‌کاری برنامه‌ی کاربر را روی PLC ممنوع می‌کند و از خروج برنامه کاربر از PLC جلوگیری می‌کند؛ اما ما قادر بودیم تا کشف کنیم چگونه می‌توان برنامه کاربر را خارج کرده و کد منبع را نشان داد و آن را دست‌کاری کرده و دوباره برنامه را نصب کرد».
با از کار افتادن سامانه دفاعی، بدافزار می‌تواند به درون PLC بارگذاری شود و از آن طریق راه خود را برای آلوده کردن شبکه و سایر سامانه‌ها باز می‌کند.
بروگمن می‌گوید نکته‌ای که در مورد سناریوی بالا وجود دارد این است که گزینه‌‌ای به نام حفاظت دسترسی زیمنس Siemens Access Protection وجود دارد که ویژگی‌های پروتکلی را که برای انتقال نرم‌افزار استفاده می‌شود که در این مورد یک کرم‌واره است به یک PLC‌ دیگر محدود می‌کند. این ویژگی باعث می‌شود که کاربر برای بارگذاری نرم‌افزار جدید نیاز به یک کلمه‌ی عبور دیگر داشته باشد. بروگمن می‌گوید: «ما هیچ نوع حفره‌ی امنیتی در این نوع از حفاظت نیافتیم. اما مشکل این است که این قابلیت حفاظتی به‌صورت پیش‌فرض خاموش است. اگر این قابلیت فعال باشد، کرم‌واره باید کلمه‌ی عبور را بداند و معمولاً چنین چیزی اتفاق نمی‌افتد».
بروگمن می‌گوید که آنچه نیاز به تغییر دارد این است که حفاظت درگاه TIA برای بارگذاری نرم‌افزار جدید نیاز دارد تا به‌صورت پیش‌فرض روش باشد به‌طوری‌که کاربران مجبور باشند تا یک کلمه عبور را وارد کنند.
هنگامی‌که شرکت OpenSource Security یافته‌های خود را به شرکت زیمنس ارائه کرد، به محققان گفته شد که هیچ نوع حفره‌ای در بسترهای PLC که از SIMATIC S۷-۱۲۰۰ PLC استفاده می‌کنند، وجود ندارد. بروگمن می‌گوید: «به ما گفته شد که این‌ها آسیب‌پذیری نیستند و همه‌چیز همان‌طوری که انتظار می‌رود کار می‌کند».

هنگامی‌که خبرگزاریِ Threatpost از زیمنس درخواست کرد که در این مورد اظهارنظر کند آن‌ها دوباره تأکید کردند که تحقیق شرکت OpenSource Security را به‌عنوان یک شاهد قطعی مبنی بر اینکه PLC های SIMATIC S۷-۱۲۰۰ آسیب‌پذیر هستند، نمی‌بینند. این شرکت در بیانیه‌ای گفت: «آنچه در کنفرانس بلک‌هت نشان داده شده است از یک نمونه کرم‌واره استفاده می‌کند که از طریق دست‌کاری برنامه کاربری محافظت نشده‌ی SIMATIC S۷-۱۲۰۰ v۳ گسترش می‌یابد (محافظت نشده به این معناست که عملکرد حفاظت دسترسی PLC‌غیرفعال است و دستورالعمل‌ها پیروی نمی‌کند)».
زیمنس می‌گوید که دستورالعمل عملیاتی این شرکت توصیه می‌کند که قابلیت حفاظت دسترسی Access Protection فعال شود. بااین‌حال زیمنس در ماه مارس یک مشاوره‌نامه امنیتی در مورد حفره‌ها منتشر کرد و گفت: «ممکن است مهاجم اجازه پیدا کند تا از حفاظت امنیتی بلاک‌های برنامه کاربر در SIMATIC S۷-۱۲۰۰ PLC گذر کند».
این شرکت در یک مصاحبه‌ی رایانامه‌ای گفت:‌«با توجه به گزارش‌های دیگری که اعلام شده است و ارتباطی به کرم‌واره نمونه نداشته‌اند، این مشکل (CVE-۲۰۱۶-۲۸۴۶) در ارتباط با مایک بروگمن و رالف اشپنبرگ و سپاسگزاری از آن‌ها حل‌وفصل شده است».
بروگمن بر این عقیده است که تنظیمات حفاظت دسترسی باید ساده‌تر یافت شود و همچنین این تنظیمات باید در حالت پیش‌فرض فعال باشند تا امنیت برقرار شود.
بروگمن می‌گوید: «این مشکل تنها مختص به زیمنس نیست. همه‌ی شرکت‌های کنترل صنعتی همین کار را در سی سال گذشته انجام داده‌اند. آن‌ها باید نگرش‌های تازه‌ای به امنیت داشته باشند تا بتوانند دستگاه‌های خود را در امنیت کامل حفظ کنند».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.