آسیب پذیری ها

 جهت مشاهده آخرین آسیب پذیری ها کلیک کنید

دریافت فایل

جهت ورود به قسمت دریافت فایل کلیک کنید

 پیگیری رخداد

 جهت ثبت گزارش رخداد  یا پیگیری گزارش کیک کنید

تحلیل ها

جهت دریافت گزارشات تحلیل کلیک کنید

آسیب پذیری Rockwell Micrologix 1400 DNP3 DOS

 
 
این گزارش در 11 سپتامبر 2014 به پورتال امن کتابخانه US-CERT ارسال ، و در وب سایت NCCIC / ICS-CERT منتشر شده است. 
Matthew Luallen محقق مستقل  از CYBATI  یک آسیب پذیری انکار سرویس (DoS) در پیاده سازی DNP3 از پلت فرم کنترلی Allen-Bradley MicroLogix 1400 را شناسایی کرده است. اتوماسیون Rockwell یک نسخه جدید از سیستم عامل خود را منتشر کرده است که این آسیب پذیری را کاهش داده است. 
این آسیب پذیری می تواند از راه دور مورد استفاده قرار بگیرد.
محصولات تحت تاثیر :
 پلت فرم های کنترلی Allen-Bradley MicroLogix 1400 زیر تحت تاثیر قرار گرفتند: 
1766-Lxxxxx سریA  FRN 7 و قبل از آن، و 
1766-Lxxxxx سری B FRN 15.000 و قبل از آن.
تاثیر:
بهره برداری موفقیت آمیز از این آسیب پذیری موجب اختلال در فرآیند لایه کاربرد  DNP3 می شود. در این حالت محصول، ارتباطات  و دسترس بودن در شبکه را از دست می دهد، در نتیجه در شرایط DoS  قرار می گیرد. بازیابی محصولات از وضعیت DoS نیازمند راه اندازی مجدد  می باشد. 
تاثیر بر سازمان های خصوصی بستگی به عوامل بسیاری دارد که برای هر سازمان منحصر به فرد می باشد. ICS-CERT توصیه می کند که سازمان تاثیر این آسیب پذیری را بر اساس محیط خود، معماری، و پیاده سازی عملیاتی محصولات خود ارزیابی کند.
 
پیش زمینه
اتوماسیون Rockwell ، که یک شرکت مستقر در ایالات متحده است، طیف گسترده ای از کنترل اتوماسیون صنعتی و محصولات اطلاعاتی را در سراسر جهان برای بسیاری از صنایع فراهم می کند. 
محصولات آسیب دیده، MicroLogix ها هستند که کنترل کننده های منطقی قابل برنامه ریزی (PLC ها) می‌باشند. با توجه به اتوماسیون Rockwell ، این محصولات در بخش های مختلفی پیاده سازی شده اند، از جمله شیمیایی، صنعتی بحرانی، غذا و کشاورزی، سیستم های آب و فاضلاب و غیره اتوماسیون Rockwell تخمین می‌زند که این محصولات در آلمان، جمهوری چک، فرانسه، لهستان، دانمارک، مجارستان، ایتالیا، و سایر کشورها در اروپا، و همچنین در ایالات متحده، کره، چین، ژاپن، و کشورهای آمریکای لاتین استفاده می شوند.
 
توصیف آسیب پذیری
  مروری بر آسیب پذیری 
      -اعتبار ورودی نامناسب
ارتباط DNP3 به طور پیش فرض در محصولات MicroLogix 1400 غیر فعال است. اگر قابلیت DNP3 فعال شود، نسخه های خاصی از محصول مستعد ابتلا به یک حمله DoS می شوند.حمله DoS زمانی اتفاق می افتد که محصول یک سری بسته های ناهنجار  خاص را  از طریق اترنت یا پورت سریال محلی خود که در سرایند DNP3 لایه پیوند است دریافت کنند.
•CVE-2014-5410b  و A CVSS با مقدار 7.1برای این آسیب پذیری اختصاص داده شده است. رشته بردار CVSS " (AV:N/AC:M/Au:N/C:N/I:N/A:C).c" است.
•سوء استفاده شناخته شده ای از این آسیب پذیری انجام نگرفته است.
•مهاجمانی با دانش متوسط می توانند این آسیب پذیری را مورد بهره برداری قرار دهند.
 
جزییات آسیب پذیری
-قابلیت بهره برداری
     •این آسیب پذیری می تواند از راه دور مورد بهره برداری قرار گیرد.
-وجود آسیب پذیری
    •بهره برداری عمومی شناخته شده ی به طور خاص  این آسیب پذیری را هدف قرار نداده است.
-سختی و دشواری
   •یک مهاجم با مهارت متوسط  قادر به بهره برداری از این آسیب پذیری خواهد بود
 
کاهش آسیب پذیری
اتوماسیون Rockwell نسخه جدیدی از سیستم عامل MicroLogix 1400 سری B برای رسیدگی به این  آسیب‌پذیری و کاهش خطر در  بهره برداری موفقیت آمیز از آن منتشر کرده است. نسخه های بعدی سیستم عامل از MicroLogix 1400 سری B و جدیدتر از آن، این بهبود را شامل می شوند. 
اتوماسیون Rockwell راهکارهای زیر را برای کاهش فوری این آسیب پذیری ارائه داده است (در صورت امکان، استراتژی های مختلف باید به طور همزمان به کار گرفته شوند): 
•ارتقا تمام کنترل کننده های  MicroLogix 1400 سری B به سری B FRN 15.001 یا بالاتر. سیستم عامل کنونی برای MicroLogix 1400 پلت فرم سری B را می توان در آدرس وب زیر یافت: 
http://www.rockwellautomation.com/rockwellautomation/support/pcdc.page
 به کاربران با کنترل کننده های سری A و B نیز توصیه می شود راهکارهای کاهش خطر زیر را انجام دهند:
•ارتباط DNP3 را در محصولات تا زمانی که مورد نیاز نشدند فعال نکنید.
•هرجا که مناسب است، درخواست ارتباطات DNP3 از خارج  بخش تولید به به داخل بخش تولید ممانعت به عمل آید. به این منظور  ارتباطات اترنت پورت 20000 / TCP  و 20000 / UDP را با استفاده از تکنولوژی امنیتی مناسب (به عنوان مثال، دیوار آتش، دستگاه های UTM، و یا دیگر دستگاه های امنیتی) ممنوع کنید.
           * توجه: پورت های 20000 / TCP و 20000 / UDP پیش فرض کارخانه به عنوان مشخصات DNP3 هستند، اما می توانند توسط صاحب محصول دوباره پیکربندی شوند.
•فایروال ها را با فیلتر کردن ورودی /خروجی ، سیستم های تشخیص نفوذ / پیشگیری، و تایید تمام تنظیمات به کار ببرید. پیکربندی فایروال را برای اطمینان از مسدود بودن سایر ترافیک های ورودی و خروجی ارزیابی کنید.
•دسترسی فیزیکی و الکترونیکی به محصولات اتوماسیون، شبکه و سیستم ها را فقط به آن دسته از افراد مجاز که در تماس با تجهیزات سیستم کنترل می باشند محدود کنید.
•لایه های امنیتی ، روش دفاع در عمق و جداسازی شبکه و شیوه های تقسیم بندی در طراحی سیستم برای محدود کردن و کنترل دسترسی به محصولات فردی و شبکه های کنترل را به کار ببرید. برای اطلاعات جامع در مورد اجرای معماری معتبر طراحی شده برای این اقدامات به وب سایت http://www.ab.com/networks/architectures.html مراجعه کنید.
لطفا برای اطلاعات بیشتر در مورد این موضوع به شفاف سازی های محصولات اتوماسیون Rockwell  (AID 620295) مراجعه کنید: 
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/620295 
ICS-CERT صاحبان دارایی ها را به اقدامات دفاعی اضافی برای محافظت در برابر این آسیب پذیری و سایر خطرات امنیت فضای تبادل اطلاعات تشویق می کند .
•وقتی که دسترسی از راه دور مورد نیاز است، از روش های امن، مانند شبکه های خصوصی مجازی (VPN)، استفاده کنید. توجه داشته باشید که VPN ها هم ممکن است آسیب پذیری داشته باشند و باید آخرین نسخه به روز در دسترس باشد. همچنین می دانیم که VPN ها تنها به اندازه دستگاه های متصل  امن هستند.
ICS-CERT نیز یک بخش برای روش های توصیه شده در امنیت سیستم های کنترل در صفحه وب ICS-CERT -http://ics-cert.us cert.gov/content/recommended- فراهم کرده است. چندین روش توصیه شده، برای خواندن و دانلود آماده هستند، از جمله بهبود سیستم های کنترل صنعتی امنیت رایانه با استراتژی دفاع در عمق. ICS-CERT به سازمان ها یادآوری می کند تا تجزیه و تحلیل موثر و مناسب و ارزیابی ریسک قبل از استقرار اقدامات دفاعی را انجام دهند.
راهنمایی های اضافی کاهش خطر و توصیه ها در اسناد اطلاعات فنی ICS-CERT ، ICS-TIP-12-146-01B-با هدف قرار دادن تشخیص نفوذ سایبری و استراتژی های کاهش خطر، از وب سایت ICS-CERT به صورت عمومی قابل دانلود هستند. (www.ics-cert.org). 
سازمان ها در صورت مشاهده هر گونه فعالیت های مخرب مشکوک باید روند های داخلی تاسیسات خود را دنبال و گزارش یافته های خود را به ICS-CERT برای ردیابی و تصحیح در برابر حوادث دیگر گزارش کنند.
منبع:
https://ics-cert.us-cert.gov/advisories/ICSA-14-254-02
 

نظر خود را اضافه کنید.

ارسال نظر به عنوان مهمان

0
شرایط و قوانین.
  • هیچ نظری یافت نشد