Еще буквально пару лет назад мало кто предполагал, что вирусы шагнут из киберпространства в реальный мир и смогут не только воровать данные и мешать работе ПО, но и атаковать целые производственные системы, выводить из строя машины и промышленные установки. Казалось бы, сети на производстве как правило изолированы от сетей общего пользования и внутренних сетей предприятия, оборудование и ПО в них значительно отличаются от обычных сетей, — уж не говоря о том, что все процессы четко регламентированы и строго контролируются...
Однако, когда речь идет не о хакере-одиночке, а о группе профессионалов, состоящей из специалистов по АСУ ТП, хакеров и инженеров, которые действуют (вполне вероятно), опираясь на поддержку целого государства, — все становится возможным.
Первой угрозой, ознаменовавшей начало эпохи кибернетических войн, стал знаменитый «червь» Stuxnet, атаковавший ядерные объекты Ирана. Причем известно, что проектировался зловред специально под SCADA-систему фирмы Siemens — SIMATIC WinCC, которая работала на АЭС в Бушере. Казалось бы: дело было в Иране, прошло много времени… — какая нам разница?
Но разница есть, ведь именно система WinCC используется в поездах Сапсан, в компрессорных станциях Газпрома, на отечественных химзаводах… Список можно продолжать. Нетрудно представить себе последствия выхода из строя системы управления скоростным поездом или установки на газопроводе.
Вдобавок ко всему, в этой самой Siemens SIMATIC WinCC эксперты исследовательского центра Positive Research обнаружили ряд серьезных уязвимостей, эксплуатируя которые, можно полностью перехватить управление промышленным объектом.
Проблемы
Итак, что же удалось обнаружить?..
- XPath Injection в двух веб-приложениях: не фильтруются специальные символы во время парсинга URL-параметров; некоторые из таких параметров могут использоваться для составления XPath-запроса для XML-данных. Злоумышленник может эксплуатировать эту уязвимость для чтения или записи параметров системы.
- Обратный пусть в директориях. Как и в первом случае, два веб-приложения не фильтруют URL-параметры. Один из таких параметров описывает имя файла. Добавляя информацию об относительном пути к названию файла, авторизованный злоумышленник может произвольно читать файлы в системе.
- Переполнение буфера, позволяющее провести атаку типа «Отказ в обслуживании» на веб-сервер WinCC DiagAgent, который используется для задач удаленной диагностики и по умолчанию выключен. Во включенном состоянии он не фильтрует введенные пользователем данные должным образом, что может привести к краху DiagAgent (средство удаленной диагностики станет непригодным для использования).
- Reflected Cross-Site Scripting в двух веб-приложениях, которые подвержены атаке, поскольку не фильтруют специальные символы при парсинге URL-параметров. Можно создать такие URL, парсинг которых приведет к выполнению вредоносного кода Java Script. Если ссылка отправлена авторизованному пользователю WinCC и он откроет ее — на компьютере жертвы запустится вредоносный код, что может привезти к различным неприятностям (например, злоумышленник может получить авторизованный доступ к веб-приложению).
- Open Redirect в одном веб-приложении, которое принимает параметр в запросе HTTP GET и интерпретирует его как URL. Затем браузер жертвы направляется по этому адресу. Если жертва откроет подобную ссылку, подготовленную злоумышленником, браузер может вместо системы WinCC перейти на вредоносный сайт.
Что делать?
Необходимо отметить, что продукт, подверженный этим проблемам, — WinCC 7.0 SP3. Система работает под ОС Windows и использует базу данных Microsoft SQL Server. Пользователям данной SCADA-системы необходимо установить Update 2 и отказаться от использования компонента DiagAgent, заменив его альтернативным ПО (SIMATIC Diagnostics Tool или SIMATIC Analyser). Подробная информация об уязвимостях и шагах, необходимых для их устранения, опубликованы на сайте компании Siemens.
Перспективы безопасности SCADA
К сожалению, технологии, на которых построены современные SCADA-системы, ориентированы в первую очередь на решение задач управления технологическим процессом. Функции безопасности в них либо отсутствуют полностью, либо реализованы по остаточному принципу.
Если ситуация не изменится, то неминуемо продолжится рост количества инцидентов, аналогичных случаю со Stuxnet. Вендорам и специалистам по безопасности ничего не остается, кроме как предупреждать риски ИБ и совместными усилиями устранять недостатки в системах защиты. В случае АСУ ТП цена тривиальной «дырки» в системе слишком высока.
Автор: ptsecurity