Остаться в живых. Безопасность SCADA

    Еще буквально пару лет назад мало кто предполагал, что вирусы шагнут из киберпространства в реальный мир и смогут не только воровать данные и мешать работе ПО, но и атаковать целые производственные системы, выводить из строя машины и промышленные установки. Казалось бы, сети на производстве как правило изолированы от сетей общего пользования и внутренних сетей предприятия, оборудование и ПО в них значительно отличаются от обычных сетей, — уж не говоря о том, что все процессы четко регламентированы и строго контролируются…

    Однако, когда речь идет не о хакере-одиночке, а о группе профессионалов, состоящей из специалистов по АСУ ТП, хакеров и инженеров, которые действуют (вполне вероятно), опираясь на поддержку целого государства, — все становится возможным.

    Первой угрозой, ознаменовавшей начало эпохи кибернетических войн, стал знаменитый «червь» Stuxnet, атаковавший ядерные объекты Ирана. Причем известно, что проектировался зловред специально под SCADA-систему фирмы Siemens — SIMATIC WinCC, которая работала на АЭС в Бушере. Казалось бы: дело было в Иране, прошло много времени… — какая нам разница?

    Но разница есть, ведь именно система WinCC используется в скоростных поездах, в компрессорных станциях Газпрома, на отечественных химзаводах… Список можно продолжать. Нетрудно представить себе последствия выхода из строя системы управления скоростным поездом или установки на газопроводе.

    Вдобавок ко всему, в этой самой Siemens SIMATIC WinCC эксперты исследовательского центра Positive Research обнаружили ряд уязвимостей, позволяющих проводить комплексные атаки. Воспользовавшись этими уязвимостями, злоумышленник мог получить полноценный контроль над индустриальным объектом.

    В проекте по выявлению недостатков системы безопасности Siemens SIMATIC WinCC участвовали специалисты исследовательского центра Positive Research — Денис Баранов, Сергей Бобров, Юрий Гольцев, Глеб Грицай, Александр Зайцев, Андрей Медов, Дмитрий Серебрянников и Сергей Щербель.

    Проблемы


    Итак, что же удалось обнаружить?..

    • XPath Injection в двух веб-приложениях: не фильтруются специальные символы во время парсинга URL-параметров; некоторые из таких параметров могут использоваться для составления XPath-запроса для XML-данных. Злоумышленник может эксплуатировать эту уязвимость для чтения или записи параметров системы.
    • Обратный путь в директориях. Как и в первом случае, два веб-приложения не фильтруют URL-параметры. Один из таких параметров описывает имя файла. Добавляя информацию об относительном пути к названию файла, авторизованный злоумышленник может произвольно читать файлы в системе.
    • Переполнение буфера, позволяющее провести атаку типа «Отказ в обслуживании» на веб-сервер WinCC DiagAgent, который используется для задач удаленной диагностики и по умолчанию выключен. Во включенном состоянии он не фильтрует введенные пользователем данные должным образом, что может привести к краху DiagAgent (средство удаленной диагностики станет непригодным для использования).
    • Reflected Cross-Site Scripting в двух веб-приложениях, которые подвержены атаке, поскольку не фильтруют специальные символы при парсинге URL-параметров. Можно создать такие URL, парсинг которых приведет к выполнению вредоносного кода Java Script. Если ссылка отправлена авторизованному пользователю WinCC и он откроет ее — на компьютере жертвы запустится вредоносный код, что может привезти к различным неприятностям (например, злоумышленник может получить авторизованный доступ к веб-приложению).
    • Open Redirect в одном веб-приложении, которое принимает параметр в запросе HTTP GET и интерпретирует его как URL. Затем браузер жертвы направляется по этому адресу. Если жертва откроет подобную ссылку, подготовленную злоумышленником, браузер может вместо системы WinCC перейти на вредоносный сайт.

    Что делать?


    Необходимо отметить, что продукт, подверженный этим проблемам, — WinCC 7.0 SP3. Система работает под ОС Windows и использует базу данных Microsoft SQL Server. Пользователям данной SCADA-системы необходимо установить Update 2 и отказаться от использования компонента DiagAgent, заменив его альтернативным ПО (SIMATIC Diagnostics Tool или SIMATIC Analyser). Подробная информация об уязвимостях и шагах, необходимых для их устранения, опубликованы на сайте компании Siemens.

    Перспективы безопасности SCADA


    К сожалению, технологии, на которых построены современные SCADA-системы, ориентированы в первую очередь на решение задач управления технологическим процессом. Функции безопасности в них либо отсутствуют полностью, либо реализованы по остаточному принципу.

    Если ситуация не изменится, то неминуемо продолжится рост количества инцидентов, аналогичных случаю со Stuxnet. Вендорам и специалистам по безопасности ничего не остается, кроме как предупреждать риски ИБ и совместными усилиями устранять недостатки в системах защиты. В случае АСУ ТП цена тривиальной «дырки» в системе слишком высока.

    Comments 12

      +2
      А многие еще на на шестом WinCC работают, это вообще тихий ужас.
        +5
        Не сказать конечно, что прям критичные уязвимости, учитывая что почти весь корпоративный софт подобного рода делается дядьками за 40, которые знать ничего не знают о безопасности. Тоже самое касается и отделов безопасности в этих самых конторах. Слишком большая область ИБ, да ещё и постоянно развивается. Мне кажется данная проблема вообще не подлежит решению в рамках самих производителей и им просто необходимо периодически проходить полный аудит специализирующими компаниями.
          +6
          На самом деле все ПО этой категории создается для использования во внутрикорпоративных сетях, и если какой-то «аРХИТЕКТОР» выложил в веб портал сгенерированный WinCC,WizCon или какой нибудь другой скадой в глобальную сеть- то он просто должен лишаться работы. Ну а доступ к этим сетям как раз и должен администрироваться людьми с соответствующими навыками и знаниями.
            +2
            Что конечно хорошо и правильно, но, увы, не защищает от крота внутри организации, имеющего физический доступ к внутрикорпоративной сети в связи со своими служебными обязанностями младшего подавана 6-ого отдела. И так же не защищает от «биг-босса», которому вынь да положь, но сделай, чтоб на рабочем компе можно было смотреть порнуху из интернета. Или от юной секретарши-вконтактофилки, сумевшей воткнуть в рабочий комп 3G-свисток, которая, как водится, знает пароли своего босса, чтобы исполнять приказы по телефону.
              +3
              Перечисленные вами сценарии наплодят огромное количество дыр и без СКАД :) Но конечно мои аргументы тоже не снимают с производителей такого софта обязанностей по качественной разработке.
            +1
            Именно поэтому, когда говорят об АСУ ТП, подразумевают деление на РСУ (распределенная система управления) и ПАЗ (система противоаварийной автоматической защиты).
            Как правило, в современной автоматизации, в любых опасных отраслях (химические, нефтегазовые и т.д.) требуется система ПАЗ, главная и важнейшая функция которой, переводить процесс в безопасное состояние. Обычно система ПАЗ не имеет выхода ни в какую, даже в общезаводскую сеть. Программировать контроллер(ы) ПАЗ можно с собственной станции инженера ПАЗ, которая после сдачи объекта в эксплуатацию выключена большую часть времени.
            Так что, все эти инсинуации, касательно безопасности АСУ ТП, честно говоря, уже надоели. Разобравшись в теме чуть глубже, Вы поймете, что нельзя судить обо всех АСУ ТП на примере устаревшей SCADA системе.
              +1
              Вот-вот. Плюсую. ПАЗ как раз фунциклирует параллельно РСУ (иногда даже с двойным-тройным резервированием) и бдит зорко.
              +2
              Позволю себе немного попиариться- вот список ресурсов от американского US CERT с рекомендациями по защите SCADA-систем (АСУ ТП).
                +1
                А вы не знаете о каких-нибудь уязвимостях (в т.ч. преценденты) в линейке Iconics — хотя бы тот же Genesis?
                  +2
                  Вот тут была новость про уязвимость ActiveX Stack Overflow в нескольких продуктах ICONICS
                  –2
                  Какие бы исправления не поставили, Билл Гейтс любезно, по первому же запросу из соответствующих «органов», предоставит все необходимые люки для внедрения новых версий вирусов.

                  Иранцы видимо сошли с ума, запустив свои центрифуги под виндой.
                    0
                    Хороший юмор. Правда глупый

                  Only users with full accounts can post comments. Log in, please.