В систему глубокого анализа промышленного трафика PT Industrial Security Incident Manager (PT ISIM) добавлен пакет экспертизы для обнаружения попыток эксплуатации уязвимостей в ПЛК WAGO и программном комплексе промышленной автоматизации компании CODESYS — его используют для разработки собственных ПЛК более 15 разработчиков по всему миру, включая WAGO, Beckhoff, Kontron, Moeller, Festo, Mitsubishi и HollySys. Шесть уязвимостей, выявленных экспертами Positive Technologies, имеют критически высокий уровень опасности (10 из 10 баллов по шкале CVSS 3.0), три — высокий уровень опасности (8,8 балла), еще одна получила оценку 5,3. Выпущенные Positive Technologies правила позволят обнаружить попытки доступа злоумышленников с высокими привилегиями к файловой системе контроллеров, совершать атаки типа «отказ в обслуживании» и вмешиваться в работу компьютеров, выполняющих функции ПЛК.
Промышленные уязвимости
Это уже шестой пакет экспертизы в PT ISIM. Ранее были опубликованы правила, позволяющие обнаружить попытки воровства данных и туннелирования соединений из АСУ ТП, использование инструментов для пентеста, похищенных у FireEye, попытки эксплуатации уязвимостей в роутерах MikroTik, коммутаторах Cisco и службе удаленного рабочего стола Windows, а также в ОС для встраиваемых устройств VxWorks и программном обеспечении Cisco. Кроме того, были опубликованы специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation. Новый пакет экспертизы дополняет входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI, которая уже содержит более 4000 индикаторов и правил обнаружения различных атак на оборудование ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и других производителей АСУ ТП.
В состав нового пакета экспертизы PT ISIM вошли правила, позволяющие обнаружить вредоносную активность с использованием уязвимостей в контроллерах WAGO PFC200 и программном обеспечении CODESYS, в том числе: эксплуатацию уязвимостей в системе реального времени CODESYS Control V2 communication, которая позволяет встраиваемым компьютерам выполнять функции ПЛК (CVE-2021-30186, CVE-2021-30188); получение доступа к файловой системе контроллера с правами на чтение и модификацию (CVE-2021-21001); отказ в обслуживании сервиса iocheckd, предназначенного для проверки входов и выходов ПЛК, а также отображения его конфигурации (CVE-2021-21000). Новый пакет экспертизы PT ISIM позволит обнаружить попытки эксплуатации этих уязвимостей в ПЛК WAGO и программном комплексе промышленной автоматизации CODESYS.
«По нашим данным, в I квартале 2021 года 11% атак были направлены на промышленные компании, — заявил эксперт по информационной безопасности промышленных систем Positive Technologies Роман Краснов. — Они занимают второе место после атак на госучреждения. Злоумышленники тщательно отслеживают информацию о новых уязвимостях и стараются как можно скорее использовать их в своих атаках, особенно если эти уязвимости имеют широкий спектр применимости, как в данном случае. Обновление ПО промышленных систем для устранения проблем безопасности всегда является сложной, а иногда и невыполнимой задачей в условиях необходимости поддерживать непрерывность производственных процессов. Поэтому важно обеспечить столь же непрерывный мониторинг безопасности АСУ ТП с помощью современных средств глубокого анализа промышленного трафика (Industrial NDR). Кибератака никогда не происходит мгновенно, и важно вовремя обнаружить следы подготовки к ней, а значит и своевременно ее предотвратить».
Сложности защиты АСУ ТП
Описанные уязвимости были обнаружены экспертами Positive Technologies и впоследствии устранены CODESYS. Однако далеко не все пользователи устройств оперативно устанавливают обновления, поэтому риск эксплуатации этих уязвимостей остается. Атакующим может даже не потребоваться авторизация, достаточно иметь лишь сетевой доступ к промышленному контроллеру. Средство мониторинга PT ISIM позволяет вовремя обнаружить признаки использования данных уязвимостей и сообщить о них службе безопасности даже если уязвимости не были устранены. К сожалению, сейчас нет возможности предотвратить атаку в промышленном сегменте, поскольку неизвестно как действия защиты могут сказаться на технологическом процессе. Именно поэтому всем пользователям уязвимых компонент важно максимально быстро установить исправления для опубликованных уязвимостей.
