Эксперты Positive Technologies Иван Бойко, Вячеслав Москвин и Сергей Федонин выявили множественные уязвимости в промышленных коммутаторах Moxa серий EDS-405A, EDS-408A, EDS-510A и IKS-G6824A. Эти устройства применяются для построения индустриальных сетей в нефте- и газодобыче, на сухопутном и морском транспорте, в различных производственных отраслях.
«Взлом коммутатора промышленной сети может привести к компрометации всего производства, потому что сетевое оборудование — это своего рода артерии в организме АСУ ТП, — поясняет руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров. — Нарушение сетевого взаимодействия может негативно повлиять на технологический процесс вплоть до его полной остановки».
В коммутаторах Moxa серий EDS-405A, EDS-408A, EDS-510A (версии прошивки 3.8 и ниже) эксперты Positive Technologies обнаружили пять уязвимостей, три из которых представляют большую опасность. Например, злоумышленник может восстановить пароль из перехваченного значения cookie — по сети или с помощью межсайтового выполнения сценариев (XSS), извлечь чувствительную информацию, а также подобрать учетные данные с использованием проприетарного протокола для настройки, что позволит получить контроль как над коммутатором, так и, возможно, над всей промышленной сетью.
В устройствах серии IKS-G6824A (версии прошивки 4.5 и ниже) были выявлены сразу семь уязвимостей. Наибольшую угрозу представляет переполнение буфера на стеке в веб-интерфейсе, которое можно произвести без аутентификации. Эксплуатация данной уязвимости приводит к отказу в обслуживании и потенциально — к выполнению произвольного кода. Использование остальных уязвимостей может привести к перманентному отказу в обслуживании устройства, чтению оперативной памяти устройства, возможности проводить различные действия от лица легального пользователя в веб-интерфейсе коммутатора и другим последствиям.
На официальном сайте Moxa приведен список необходимых действий, позволяющих снизить риск, связанный с обнаруженными уязвимостями. Для устранения ряда уязвимостей выпущены новые прошивки. Эксперты Positive Technologies рекомендуют отключать все неиспользуемые возможности оборудования (например, административный веб-интерфейс) сразу после наладки коммутаторов. При невозможности отключения необходимо принимать меры по превентивному обнаружению действий злоумышленников с использованием системы мониторинга и реагирования на инциденты информационной безопасности в АСУ ТП, например PT Industrial Security Incident Manager (PT ISIM).
Помимо PT ISIM, для выявления киберинцидентов и обнаружения уязвимостей в АСУ ТП компания Positive Technologies предлагает систему MaxPatrol 8, учитывающую особенности промышленных протоколов.