Злоумышленник имеет возможность удаленно получить доступ к диагностическому интерфейсу контроллера, но не сможет нарушить его работу
Эксперт компании Positive Technologies Илья Карпов обнаружил уязвимости в программируемых логических контроллерах Allen-Bradley MicroLogix 1100 и 1400 компании Rockwell Automation. Эти устройства широко применяются предприятиями по всему миру — в полиграфии и фармацевтике, в химической и продовольственных отраслях, в системах водоснабжения и канализации.
«Данные уязвимости напрямую не угрожают производственным процессам, однако позволяют атакующему полностью отключить один из информационно-диагностических сервисов на ПЛК или использовать его для осуществления многоходовых атак, которые, в свою очередь, могут привести к аварийным ситуациям, — говорит руководитель отдела исследований и аудита промышленных систем управления Positive Technologies Илья Карпов. — При этом эксплуатировать такие уязвимости может злоумышленник невысокой квалификации».
Одна из уязвимостей CVE-2016-9334, получившая оценку 6.5 по шкале CVSS v3, связана с отсутствием шифрования при передаче чувствительной информации через веб-сервис. На контроллере со старой прошивкой нет возможности использовать протокол HTTPS либо отключить веб-сервис, поэтому все учетные данные передаются в открытом виде, и злоумышленник может их перехватить. Для перехвата авторизационных данных атакующему требуется доступ к трафику между веб-браузером и ПЛК, что возможно при проведении атаки «человек посередине» (MITM-атаке).
Эксплуатируя вторую уязвимость, CVE-2016-9338 с оценкой 2.7 по шкале CVSS v3, пользователь веб-сервиса с правами администратора может удалить всех пользователей, включая свою учетную запись. Злоумышленник может сформировать специальную ссылку или сам удалить всех пользователей системы, что приведет к отказу в работе функций веб-сервиса. Для восстановления работоспособности потребуется сброс ПЛК к заводским настройкам, что потребует физического доступа к ПЛК и обновление прошивки.
Ранее в 2015 году компания Rockwell Automation признала наличие еще двух уязвимостей в контроллерах Allen-Bradley MicroLogix 1100 и 1400. Илья Карпов и Алексей Осипов обнаружили возможность межсайтового выполнения сценариев в веб-сервере данных устройств, что позволяет злоумышленникам, действующим удаленно, внедрить произвольный Javascript- или HTML-код, который будет выполнен в браузере с правами текущего пользователя. Данная уязвимость CVE-2015-6488 получила оценку 4.7 по шкале CVSS v3.
Другая брешь CVE-2015-6486, выявленная Ильей Карповым (оценка 3.7 по шкале CVSS v3), связана с внедрением SQL-кода и некорректной обработкой (экранированием) входных данных. Она позволяет удаленным пользователям, прошедшим аутентификацию, создавать или удалять аккаунты, а также повышать уровень своих привилегий, используя специально сформированные ссылки.
Для устранения указанных уязвимостей необходимо обновить MicroLogix 1100 до версии 15.000, а MicroLogix 1400 — до версии 16.000. Описания данных уязвимостей и рекомендации по защите представлены в двух бюллетенях (ICSA-16-336-06, ICSA-15-300-03A) группы быстрого реагирования на киберинциденты в сфере управления производственными процессами (ICS-CERT).
Программируемые контроллеры MicroLogix в течение трех лет использовались в конкурсах по анализу безопасности критической инфраструктуры на международном форуме по практической безопасности PHDays, организованном компанией Positive Technologies. В частности, в 2014 году в конкурсе Critical Infrastructure Attack по взлому современного «умного города» Никита Максимов и Павел Марков заняли второе место, подобрав пароль для веб-интерфейса контроллера MicroLogix 1400, который управлял шлагбаумом на железнодорожном переезде (а на следующих форумах — переключением стрелок).
За последние годы эксперты компании обнаружили и помогли устранить более 200 уязвимостей нулевого дня в АСУ ТП и SCADA-системах Emerson, Honeywell, Schneider Electric, Siemens, Yokogawa и других компаний, что является самым высоким результатом в индустрии. В настоящее время Positive Technologies выпускает ряд продуктов, учитывающих особенности промышленных протоколов, — PT ISIM, MaxPatrol 8 и MaxPatrol SIEM.