آسیب پذیری تجهیزات کنترل صنعتی شرکت Honeywell

Honeywell EPKS یک سیستم کنترل گسترده (DCS) می باشد که در سراسر محصولات خود را به فروش می رساند. این محصول در اتوماسیون صنعتی شرکت ها مورد استفاده قرار می گیرد. محصولات این شرکت، قابلیت بهره برداری در بستر وب و اجرا در بستر SCADA را دارد. بر اساس تخمین این شرکت، محصول آسیب پذیر در مراکز فراوانی در حوزه های شیمیایی، زیر ساخت های حساس، انرژی و سلامت به کار رفته است.  

Alexander Tlyapov ، Gleb Gritsai ، Kirill Nesterov ، Artem Chaykin و Ilya Karpov از اعضای تیم تحقیقاتی شرکت Positive Technologies چندین آسیب پذیری را از محصولات شرکت Honeywell شناسایی کردند. محصول آسیب پذیر، سیستم های کنترل گسترده EPKS می باشد. به همین منظور، شرکت Honeywell فایل پچی را در راستای کاهش آسیب پذیری گزارش شده ارائه کرده است. لازم به ذکر است که این آسیب پذیری قابلیت بهره برداری از راه دور را نیز دارد.

بهره برداری موفق از این آسیب پذیری به مهاجمان اجازه می دهد تا از راه دور کدهای دلخواه خود را بر روی سیستم های آسیب پذیر اجرا کنند. تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت  case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد. 

تشریح آسیب پذیری به شرح زیر می باشد:

HEAP-BASED BUFFER OVERFLOW

آسیب پذیری چندگانه در ماژول‌های  heap-based buffer overflow در confd.exe، dual_onsrv.exe، hscodbcn.exe و ripsd.exe وجود داشته که این مسئله به مهاجمان اجازه می دهد از راه دور کدهای دلخواه خود را اجرا کرده و موجب شوند تا سیستم DoS کند. شناسه CVE-2014-9187 به این آسیب پذیری اختصاص یافته است.

STACK-BASED BUFFER OVERFLFOW

آسیب پذیری چندگانه در ماژول‌های confd.exe، hscodbcn.exe و pscdasrv.exe وجود دارد که منجر می شود مهاجم بتواند از راه دور کدهای دلخواه خود را اجرا کند؛ این مسئله منتج می شود به اینکه سیستم قربانی DoS کرده و memory corruption اتفاق بیافتد. شناسه CVE-2014-9189 به این آسیب پذیری اختصاص یافته است.

ARBITRARY MEMORY WRITE

آسیب پذیری نوشتن کد دلخواه در حافظه در ماژول dual_onsrv.exe وجود دارد که منجر می شود سیستم DoS کند. شناسه CVE-2014-5435 به این آسیب پذیری اختصاص یافته است.

DIRECTIRY TRANVERSAL

آسیب پذیری پیمایش دایرکتوری در ماژول confd.exe وجود دارد. به موجب این آسیب پذیری، امکان دارد اطلاعات محرمانه افشا شود. شناسه CVE-2014-5436 به این آسیب پذیری اختصاص یافته است.

FILE INCLUSION

آسیب پذیری file inclusion در ماژول confd.exe وجود دارد که به موجب این آسیب پذیری، سیستم فایل هایی را که شامل کدهای مخرب می باشد را در تابع خود قبول کرده و از همین می توان به طریق اطلاعات محرمانه دسترسی پیدا کرد. در این حمله مهاجمان می توانند از راه دور کدهای مخرب خود را نیز اجرا کنند. شناسه CVE-2014-9186 به این آسیب پذیری اختصاص یافته است.

لازم به ذکر است که تمامی آسیب پذیری ها قابلیت بهره برداری از راه دور را داشته و یک مهاجم با سطح اطلاعات متوسط می تواند از این آسیب پذیری بهره برداری موفق را داشته باشد. ضمنا اهداف خاصی برای این آسیب پذیری گزارش نشده است.

در ادامه به منظور برقراری امنیت بیشتر در شبکه، پیشنهاد می شود که اقدامات زیر انجام شود:

• ایزوله کردن سیستم های کنترل صنعتی از اینترنت

• شبکه سیستم های کنترل صنعتی و تجهیزات متصل به آن را پشت فایروال قرار داده و  از شبکه اداری جدا کنیم

• زمانی که اپراتور ها نیاز به دسترسی از راه دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)

محصولات آسیب پذیر به شرح زیر می باشد:

• تمام نسخه های Experion PKS R40x تا قبل از Experion PKS R400.6
• تمام نسخه های Experion PKS R41x تا قبل از Experion PKS R410.6
• تمام نسخه های Experion PKS R43x  تا قبل از Experion PKS R430.2