24 ноября 2020

Исследователи предупреждают о критической уязвимости в системах промышленной автоматизации

Речь идёт о недавно обнаруженной уязвимости CVE-2020-25159 в коде адаптера сетевого стека ENIP (499ES EtherNet/IP) разработки американской компании Real Time Automation (RTA), который фактически является одним из стандартов промышленной автоматизации в США.

В соответствующей рекомендации американского правительственного агентства CISA, отвечающего за защиту критической инфраструктуры, указано, что эксплуатация данной уязвимости может вызвать переполнение буфера и позволить удалённое выполнение кода, что, в свою очередь, может привести к отказу в работе соответствующего оборудования. По системе CVSS уязвимость получила оценку 9,8 из 10, она актуальна для всех версий программного обеспечения стека ENIP вплоть до версии 2.28, выпущенной в 2012 году.

Сама уязвимость заключается в неправильной работе механизма синтаксического анализа путей в Common Industrial Protocol (CIP) — коммуникационном протоколе, используемом для организации и обмена данными в промышленных устройствах, — что позволяет злоумышленнику открыть запрос CIP с большим размером пути соединения (более 32) и спровоцировать анализатор обращаться к областям памяти вне буфера фиксированной длины, что может привести к потенциальному выполнению произвольного кода.

«Более старый код в устройстве RTA пытался уменьшить использование оперативной памяти, ограничивая размер конкретного буфера, используемого в прямом открытом запросе EtherNet/IP», — говорится в сообщении RTA. — «Ограничив объем оперативной памяти, злоумышленник может попытаться захватить буфер и использовать его для получения контроля над устройством».

RTA внесла необходимые исправления ещё в 2012 году. Однако, ENIP-совместимые устройства достаточно широко распространены, в частности, поисковик shodan.io показывает более восьми тысяч таких устройств, имеющих подключение к сети Интернет. Со слов Шарона Бризинова (Sharon Brizinov), исследователя из израильской фирмы Claroty, который в прошлом месяце выявил уязвимость CVE-2020-25159, она актуальна для одиннадцати устройств шести производителей. С учётом этого, исключить наличие потенциально уязвимых продуктов среди подключенных к сети Интернет нельзя.

Это не первый случай, когда уязвимость в сторонней библиотеке подвергает риску промышленное оборудование, отметил Бризинов. Схожие проблемы ранее вызвали уязвимости, известные, как Ripple20 и Urgent/11.

Несмотря на то, что пока нет известных эксплойтов, реализующих уязвимость CVE-2020-25159, операторам систем промышленной автоматизации, где используется ENIP, настоятельно рекомендуется проверить, насколько безопасны их устройства промышленной автоматизации (при необходимости — задать этот вопрос соответствующему вендору), а также ещё раз проанализировать на предмет достаточности меры по изоляции промышленных сетей от корпоративных информационных систем и, тем более, сети Интернет.

Источники: CISA, The Hacker News