Как мы неоднократно говорили, мы неравнодушны к атакам на
промышленные системы управления (ICS), потому что представляем себе к каким катастрофическим последствиям они могут привести. Кейс, про который мы хотим рассказать, наглядно демонстрирует проблемы с инфосек в этой области.
Исследователь
Шэрон Бризинов из инфосек компании
Claroty,
обнаружила уязвимость в реализации стека
ENIP от компании
Real Time Automation (RTA), который является одним из наиболее распространенных ОТ-протоколов в
ICS. Эксплуатация ошибки позволила бы хакеру осуществить как минимум атаку на отказ в обслуживании, как максимум - удаленно выполнить вредоносный код, то есть фактически взять атакованное устройство под свой контроль (напомним, что это не просто хост в сети, а какой-то компонент промышленной системы управления). В связи с этим уязвимость была оценена в 9,8 из 10 по шкале критичности.
Уязвимость затрагивала версии
ENIP до 2.28, и
RTA, после того, как ее уведомили об ошибке, выяснили, что она действительно была устранена в обновлении от 2012 года. Если бы речь шла о стандартных IT-системах, то на этом кейс можно было бы, пожалуй, закрывать. Но только не в этом случае, когда дело касается
ICS.
Как оказалось, реализация
ENIP от
RTA была приобретена и интегрирована в собственные прошивки многими поставщиками компонентов
ICS, некоторые из них купили уязвимые версии. Особенность же промышленных систем управления в том, что входящее в них ПО может не обновляться годами и десятилетиями. Такова специфика процесса.
В результате исследователи
Claroty обнаружили 11 компонентов
ICS от 6 производителей, которые оказались уязвимы, и некоторые из них торчат в сеть. С производителями срочно связались
RTA, но смогут ли владельцы производства, на котором стоят эти уязвимые устройства, быстро их обновить - не ясно.
Таковы сегодняшние реалии в промышленном инфосеке. Необновленные устройства работают годами, из-за относительно небольшого распространения уязвимости могут сидеть в них еще дольше и никто об этом не узнает.
