На прошлой неделе эксперты «Лаборатории Касперского» обнародовали серию опасных уязвимостей в промышленных контроллерах Siemens SINUMERIK 808D, 828D и 840D. Бреши позволяют взломщикам проводить DoS-атаки на индустриальные предприятия и выполнять сторонний код внутри защищенного периметра. Разработчики уже выпустили соответствующие патчи и рекомендации по обеспечению безопасности.

Под угрозу попали системы управления станками SINUMERIK 808D, 828D и 840D, которые обеспечивают интеграцию и автоматизацию разрозненных промышленных узлов. Эти продукты используются в машиностроении, аэрокосмической отрасли и энергетике, на целлюлозно-бумажном и прочем производстве.

Всего эксперты описали 10 брешей. Одна из них, CVE-2018-11466, получила максимальную оценку по шкале CVSS v.3 — 10 баллов. Она объединяет в себе угрозу DoS-атаки и выполнения стороннего кода в контексте межсетевого экрана. Для этого злоумышленник должен отправить специальные запросы на TCP-порт 102. На высокую оценку повлиял тот факт, что атаку можно провести удаленно и без аутентификации.

По 9,8 балла получили уязвимости CVE-2018-11457, CVE-2018-11458 и CVE-2018-11462. Первая позволяет взломщику провести атаку через переполнение буфера, чтобы повысить привилегии и отправить несанкционированные команды. Вторая брешь служит тем же целям, открывая возможность целочисленного переполнения. Последнюю уязвимость можно использовать для повышения привилегий, но не до максимального уровня.

Оставшиеся шесть багов включают три особо опасные проблемы и три чуть менее серьезные угрозы.

Уязвимости CVE-2018-11463, CVE-2018-11461 и CVE-2018-11465 позволяют выполнить сторонний код, причем в последнем случае это можно сделать на уровне программного ядра. Наконец, CVE-2018-11459 и CVE-2018-11460 обеспечивают повышение привилегий, а CVE-2018-11464 вызывает отказ в обслуживании.

Производитель призывает администраторов промышленных сетей как можно скорее обновить используемое ПО. Разработчики также опубликовали рекомендации, которые позволят минимизировать угрозу:

  • Восстановить заводские настройки TCP-портов 4842 и 5900, с которыми связаны бреши CVE-2018-11457 и CVE-2018-11458. Они закрыты по умолчанию, и атака становится возможной, только если администратор открыл эти порты вручную.
  • Разделить IT-инфраструктуру на изолированные сегменты (так называемая «сотовая концепция» — cell concept). Такой подход защищает предприятие сразу от множества угроз, включая перегрузку сетевых каналов, несанкционированный доступ к закрытой информации и управление промышленными компонентами.
  • Развернуть VPN для безопасного обмена данными между отдельными сегментами.
  • Выстроить ИБ на предприятии по принципу эшелонированной обороны (Defense-in-Depth) — этот подход пришел из военной науки и предполагает не противодействие попыткам атаки, а создание множества слоев защиты для блокирования взломщиков уже внутри периметра безопасности.

Специалисты по безопасности промышленных систем отмечают, что в этой сфере не стоит ориентироваться только на оценку по шкале CVSS, так как она не отражает потенциал уязвимости для каждой конкретной организации.

Так, если критическую брешь можно закрыть организационно-техническими мерами, она может быть менее опасной, чем «средний» баг, который требует остановки информационных систем для обновления ПО. Кроме того, DoS-атака в принципе представляет более серьезную угрозу для промышленного предприятия, чем выполнение стороннего кода.

В марте Международная ассоциация автоматизации (ISA) и Международная электротехническая комиссия (IEC) представили новый стандарт безопасности автоматизированных систем управления, который призван повысить надежность промышленных информационных сред. Документ адресован разработчикам ПО и охватывает весь жизненный цикл АСУ от подготовки программной архитектуры до устранения дефектов на этапе эксплуатации.

Категории: Кибероборона, Уязвимости