31 марта 2021

Старое доброе переполнение буфера

В феврале 2021 года агентство CISA (Cybersecurity & Infrastructure Security Agency — Агентство США по кибербезопасности и безопасности инфраструктуры) опубликовало бюллетень безопасности об уязвимости переполнения буфера в программируемых логических контроллерах (ПЛК) Rockwell Automation MicroLogix 1400. Сведения об уязвимости были предоставлены Rockwell Automation Технологическим институтом Веэрмата Джиджабай (Veermata Jijabai Technological Institute). Уязвимы все серии устройств MicroLogix 1400 версий до 21.6 включительно.

ПЛК Rockwell Automation MicroLogix 1400 поддерживают широкий круг промышленных протоколов передачи данных, включая EtherNet/IP™, DNP3, DF-1, DH-485, Modbus RTU/Modbus ASCII с цифровыми и аналоговыми точками ввода-вывода. В устройствах реализован сложный функционал, такой как встроенные веб-серверы и возможность работы с электронной почтой (SMTP клиент).

Уязвимость получила идентификатор CVE-2021-22659. Ее уровень опасности оценен как высокий (8,1 баллов по шкале CVSS 3.0). Метрики CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H. Для эксплуатации уязвимости требуется высокий уровень квалификации; известные публичные эксплойты для нее отсутствуют.

Данная уязвимость позволяет не прошедшим аутентификацию злоумышленникам удаленно получать или изменять значения различных регистров на устройстве путем отправки определенным образом сформированного пакета Modbus. Успешная атака может привести к переполнению буфера, в результате которого устройство может стать недоступным, перестав реагировать на запросы. В такой ситуации ПЛК не может автоматически восстановить свою работоспособность – ошибку должен вручную сбросить пользователь.

Для минимизации риска предлагаются, в частности, следующие меры:

  • Rockwell Automation рекомендует реализовать следовать стандартным лучшим практикам обеспечения безопасности — в частности, использовать антивирусное решение, минимизировать сетевую доступность устройств АСУ ТП через интернет и реализовать стратегию эшелонированной защиты.
  • Там, где это возможно, следует отключить функционал Modbus TCP на уязвимых устройствах. Без этого функционала злоумышленники не смогут использовать данную уязвимость.
  • Использовать решения для фильтрации сетевого трафика, чтобы исключить попадание в технологическую сеть трафика Modbus TCP из нежелательных источников.
  • Изучить документацию соответствующих продуктов на предмет наличия функций (таких как аппаратные кнопочные переключатели), позволяющих предотвратить несанкционированное внесение изменений в продукт.
  • Блокировать входящий трафик устройств, использующих EtherNet/IP™ или другой протокол CIP, если его источники находятся за пределами технологической сети, или блокировать / ограничивать трафик на TCP/UDP портах 2222 и 4418 уязвимых устройств с помощью устройств для фильтрации сетевого трафика.

Источник: CISA

Авторы
  • Вячеслав Копейцев

    Старший исследователь безопасности, Kaspersky ICS CERT