Армис и Honeywell обнаруживают уязвимости в системах Honeywell
19 июля 2023 г.Компания по обеспечению безопасности Armis в сотрудничестве с компанией Honeywell, занимающейся операционными технологиями, выявила новые уязвимости в платформах распределенных систем управления Honeywell Experion. Эти уязвимости потенциально могут сделать возможным удаленное выполнение вредоносных программ на серверах и контроллерах Honeywell, заявили компании.
Том Гол, директор по информационным технологиям по исследованиям в Armis, написал в своем блоге, что уязвимость под названием Crit.IX обеспечивает доступ к устройствам и позволяет злоумышленникам изменять работу контроллеров DCS. Он отметил, что уязвимости позволяют злоумышленникам компрометировать устройства, не требуя аутентификации.
Перейти к:
- Устаревшие системы делают промышленную инфраструктуру главной целью
Уязвимости, обнаруженные в снаряжении Experion
3 платформы Honeywell скомпрометированы
Насколько опасны атаки на операционные технологии?
Шаги по устранению проблем
Контроллеры РСУ включают в себя рабочие станции, распределенные по объекту, которые управляют производственными процессами, производством электроэнергии, нефтехимическими заводами и другими химическими операциями. Из-за уязвимости злоумышленникам требуется доступ к сети только для манипулирования или нарушения работы контроллеров и инженерных рабочих станций.
«Потенциально любые скомпрометированные ресурсы ИТ, IoT и OT в той же сети, что и устройства DCS, могут быть использованы для атаки», — пишет Гол.
SEE: инженерные ПК подвержены высокому риску атак (TechRepublic)
Устаревшие системы делают промышленную инфраструктуру главной целью
По словам Армиса, системы DCS и SCADA (диспетчерское управление и сбор данных) становятся все более уязвимыми. Исследовательская группа фирмы объяснила по электронной почте, что привлекательность этих критически важных инфраструктурных сетей является результатом неадекватно защищенных устаревших систем в сочетании с возможностью значительных финансовых потерь, что делает их прибыльными для киберпреступников и участников.
«Эксплуатируя одну из таких уязвимостей, злоумышленник может вывести из строя контроллеры в сети, что приведет к потере продукции, незапланированному простою, разрушению оборудования, риску получения физических травм», — заявили исследователи.
По их словам, использование одной уязвимости может привести к удаленному выполнению кода как на контроллере, так и на сервере, «что позволит злоумышленникам изменить работу контроллера, скрывая его на сервере. Такая атака может привести к компрометации фармацевтических значков, химических соединений и нарушению распределения электроэнергии между взаимосвязанными системами ниже по течению».
Уязвимости, обнаруженные в снаряжении Experion
В мае 2022 года Армис подтвердил Honeywell, что контроллер и серверы Experion C300 имеют 13 проблем с кодом, представляющих собой девять новых уязвимостей, семь из которых являются критическими, по словам Гола.
Команда Armis объяснила, что комбинация методов может скомпрометировать сервер Honeywell Experion, получить контроль над работающей на нем инженерной рабочей станцией и использовать ее в качестве оплота для бокового перемещения и проведения атак внутри сети.
Команда заявила, что уязвимости в протоколе CDA могут позволить злоумышленнику получить доступ к тому же сегменту сети, что и контроллер, что приведет к повреждению памяти, сбою и отказу в обслуживании.
«Из-за серьезности этих уязвимостей и их воздействия Honeywell и Армис работали вместе, чтобы исследовать эти выводы, понять основные проблемы и работать над исправлением», — написал Гол, добавив, что Honeywell выпустила исправления безопасности и настоятельно рекомендовала всем затронутым клиентам немедленно применить эти исправления.
3 платформы Honeywell скомпрометированы
По словам Эмиса, затронуты три платформы РСУ Honeywell Experion, компрометирующие продукты:
- Платформа Experion Process Knowledge System.
Платформы LX и PlantCruise (Инженерная станция и Прямая станция).
Контроллер C300 DCS, используемый на всех трех платформах.
Серьезной проблемой является то, что в устаревших версиях протокола Honeywell CDA, используемого для связи между серверами Honeywell Experion и контроллерами C300, отсутствует шифрование и надлежащие механизмы аутентификации. Это отсутствие означает, что любой, у кого есть доступ к сети, может выдать себя за контроллер и сервер, пишет Гол. Он добавил, что проблемы включают переполнение буфера, которое может произойти из-за конструктивных недостатков протокола CDA, что затрудняет контроль границ данных.
Насколько опасны атаки на операционные технологии? Спросите колониальный трубопровод
«За последние несколько лет мы наблюдаем неуклонный рост заметных атак и уязвимостей на цели операционных технологий (OT), что подчеркивает растущие риски, с которыми сталкиваются системы критической инфраструктуры», — сказал Гол, сославшись на печально известную атаку программы-вымогателя Colonial Pipeline в мае 2021 года и Нападение в 2022 году на иранский сталелитейный завод группой «Хищный воробей», которая заявила, что ее нападение вызвало крупный пожар.
SEE: количество атак программ-вымогателей в марте увеличилось на 91% (TechRepublic)
Шаги по устранению проблем
Исследовательская группа Armis заявила, что из-за серьезности этих уязвимостей и их влияния Honeywell и Armis работали вместе над изучением этих результатов, пониманием основных проблем и разработкой исправлений.
«Honeywell предоставила исправления безопасности для всех 9 уязвимостей и настоятельно рекомендует всем пострадавшим организациям незамедлительно установить их», — сообщила исследовательская группа по электронной почте. Они сказали, что клиенты Honeywell могут получить доступ и применить исправления, войдя на https://process.honeywell.com/ и выполнив поиск в разделе технических публикаций.
«Армис будет копать глубже, продолжая обсуждение этих уязвимостей в течение следующих нескольких недель и месяцев», — сказали они.
Оригинал