Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

20 апреля 2017 г.

[ZLONOV.ru] Кибербезопасность АСУ ТП. Три эпизода третьего сезона

ZLONOV.ru
Пост Кибербезопасность АСУ ТП. Три эпизода третьего сезона опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

18 апреля 2017 г.

FDA требует от St. Jude большей безопасности устройств

Управление США по надзору в сфере пищевых продуктов и лекарственных средств США (FDA) направило  предупреждение в адрес компании Abbott Laboratories, указывая на недостаточное обеспечение безопасности использования уязвимого устройства Merlin@home.

Регулятор пообещал предпринять меры, в том числе штрафы и судебный запрет на осуществление деятельности, в отношении учреждения, если оно не закроет уязвимости в кардиоустройстве.

Передатчик Merlin@home – радиопередатчик, разработанный компанией St. Jude Medical, которая была поглощена Abbott в январе. Устройство позволяет удаленно отслеживать показания вживленного в тело пациента дефибрилятора.

Уязвимости в устройствах Merlin и других продуктах St. Jude Medical были обнародованы в скандальном отчете, подготовленном исследовательской компанией MedSec Holdings при поддержке хеджевого фонда Muddy Waters. Публикация информации об уязвимостях позволила MedSec сыграть на понижение и нажиться на резком снижении курса акций St. Jude. Тогда Muddy Waters предсказывала, что в результате публикации отчета оборот St. Jude Medical упадет вдвое, а отыгрывание позиций займет до двух лет.

Отчет Muddy Waters/MedSec указал на ряд уязвимостей в устройствах Merlin@home, благодаря которым потенциальных злоумышленник  способен вмешаться в процесс передачи данных между имплантом и передатчиком. Хотя после этого Abbott и St. Jude Medical запатчили некоторые из уязвимостей в Merlin@home, MedSec раскритиковал обновление, назвав его неполным. Также Muddy Waters раскрыли дополнительную информацию о брешах в самих имплантах, которые дают возможность спровоцировать сердечный приступ у пациента или раньше времени истощить батарею устройства.

«Как говорится в письме, компания не отреагировала надлежащим образом на рекомендации экспертов по информационной безопасности, сделанные еще в 2014 году, и сегодня устройства St Jude Medical не соответствуют требованиям FDA, — рассказал глава MedSec Джастин Боун (Justine Bone). —  Уязвимости в имплантах, о которых мы сообщали, так и не были закрыты, и теперь FDA требует от производителя принять меры. Мы призываем Abbott в кратчайшее время разобраться с этими серьезными проблемами».

В своем письме FDA подчеркнуло, что Abbott не провела расследование первопричин проблемы и не предприняла никаких мер, чтобы исключить повторение подобных проблем в будущем.

«Компания не подтвердила факт проведения мероприятий, направленных на исправление недостатков в оборудовании, не оценила эффект этих мероприятий и их влияние на работу устройства, — говорится в письме FDA. – Мы рассмотрели ваш ответ и не нашли его адекватным. Компания предоставила обобщенную информацию о датах проведения некоторых мероприятий, но в вашем ответе нет подтверждений проведения системных мероприятий, направленных на обеспечение безопасности устройств».

FDA в своем письме раскритиковало не только принципы решения проблем кибербезопасности в Abbott Laboratories; регулятор также обратил внимание на проблему возможного преждевременного истощения литий-ионных аккумуляторов в имплантируемых устройствах.

Abbott Laboratories не ответило предметно на запрос комментария от Threatpost, ограничившись официальным заявлением:

«Для компании Abbott здоровье пациентов – наивысший приоритет. Мы всегда ответственно относились к качеству и безопасности продукции, что доказано долгими годами работы. Abbott приобрела компани. St. Jude Medical в январе 2017 года; проверка FDA в отношении учреждения Sylmar, ранее принадлежавшего St. Jude Medical, началась 7 февраля; мы предоставили ответ на 483 запроса регулятора 13 марта, описав предпринимаемые нами меры. Мы серьезно относимся к таким вопросам, поэтому мы внимательно изучим предупреждение FDA и должным образом отреагируем на рекомендации».

9 января St. Jude Medical выкатила патч для устройств Merlin@home, который должен был закрыть все уязвимости, о которых рассказали MedSec и Muddy Waters. Но руководство MedSec и Muddy Waters раскритиковали патч, заявив, что он не решает ряд более серьезных проблем: например, в устройстве содержится бэкдор, который потенциально открывает возможность удаленного управления имплантом. В подкасте от 19 января, Боун подтвердил, что патч решает только проблему MitM-атак, возможных из-за уязвимости коммуникационного протокола между передатчиком и инфраструктурой St. Jude.

«Патч, подготовленный St. Jude Medical, не решает проблему имплантов, — сказал Боун. – К сожалению, некоторые эксперты, далекие от мира кибербезопасности, не вникли в вопрос и решили, что St. Jude Medical решила проблему своих устройств этим патчем, но это абсолютно не так».


Источник: Threatpost | Новости информационной безопасности

В хакерском архиве найдены свидетельства причастности АНБ к созданию Stuxnet

14 апреля нынешнего года хакерская группировка The Shadow Brokers опубликовала массив данных, включающий разнообразные хакерские инструменты, в том числе для взлома ОС Windows, а также документы, свидетельствующие о том, что Агентство национальной безопасности США имело доступ к межбанковской системе обмена сообщениями SWIFT и отслеживало перемещение средств между банками Южной Америки и Среднего Востока.

Кроме прочего, архив также включает эксплоит, использовавшийся в составе знаменитого червя Stuxnet, применявшегося в кибератаках на ядерные объекты в Иране. Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group, предположительно связанный с АНБ.

По словам аналитика Symantec Лайама О’Мерчу (Liam O'Murchu), инструмент для создания MOF-файлов представляет собой «почти такой же скрипт», как тот, что использовался в Stuxnet. Кроме того, в инструменте было замечено ASCII-изображение с текстом «WON THE GOLD MEDAL» («Выиграл золотую медаль») - предположительная отсылка к названию операции «Олимпийские игры», в рамках которой использовался червь Stuxnet.

Фрагмент кода Stuxnet

Фрагмент кода инструмента, опубликованного The Shadow Brokers

Власти США никогда официально не подтверждали информацию о причастности АНБ к разработке Stuxnet. Таким образом, инструмент, обнаруженный в архиве The Shadow Brokers, является, возможно, самым ранним свидетельством участия АНБ в создании червя. С другой стороны, не исключен вариант, что хакеры из The Shadow Brokers просто получили доступ к инструментам Stuxnet и повторно использовали их.


Источник: Новости - SecurityLab.ru

17 апреля 2017 г.

Банк России намерен использовать блокчейн для хранения доверенностей

Защититься от мошенников, снимающих средства с чужих счетов с помощью поддельных документов, финансовым организациям поможет блокчейн. Как сообщает издание «Известия», Центробанк РФ направил Минэкономразвития и Минкомсвязи предложение о создании централизованной online-базы нотариально заверенных доверенностей на основе блокчейна.

В настоящее время у банков есть мало возможностей для проверки подлинности нотариальных доверенностей. Когда клиент приносит такой документ, все, что может сделать сотрудник банка в целях проверки – позвонить нотариусу. Если юрист будет недоступен, сотрудник финорганизации обязан поверить в подлинность доверенности и осуществить операцию. Безусловно, подделка все равно будет обнаружена, однако вопрос поддельных документов все равно остается актуальным.

Центробанк предложил включить в дорожную карту «Цифровая экономика» два способа решения вышеописанной проблемы. По словам директора департамента финансовых технологий, проектов и организации процессов Центробанка Вадима Калухова, можно либо создать распределенную сеть данных на основе блокчейн для проверки доверенностей, либо сформировать централизованную базу нотариально заверенных документов, которую будет вести нотариат.

Как пояснила член правления Московской городской нотариальной палаты Зинаида Ништ, реестр доверенностей в сети уже существует. Тем не менее, такой реестр уязвим для взломов и DDoS-атак на сервер. Блокчейн делает DDoS-атаки бесполезными, поскольку данные хранятся не на сервере, а распределены по всей цепочке блоков.


Источник: Новости - SecurityLab.ru

14 апреля 2017 г.

Раскрыты подробности атаки на систему оповещения о ЧС в Далласе

Как ранее сообщал SecurityLab, на прошлой неделе в ночь с пятницы на субботу в течение полутора часов работали все сирены безопасности Далласа (Техас, США), и инженерам пожарных команд не удавалось их отключить. Изначально инцидент связали с предположительным взломом системы оповещения населения о чрезвычайных ситуациях. Тем не менее, как показало расследование, никакого взлома не было.

Согласно заявлению главы муниципальной администрации Далласа Т. С. Броуднэкса (T.C. Broadnax), злоумышленники не взламывали систему, а использовали радиосигналы для получения контроля над ней. «Не хочу объяснять, как именно это было сделано, чтобы никто не смог повторить. Проблема была связана не с программным обеспечением системы, а с радио», - сообщил Броуднэкс.

Муниципальная администрация не объяснила принцип работы системы оповещения, однако отметила, что она является тональной и управляется с помощью комбинации тональных сигналов. Злоумышленники могли скомпрометировать систему с помощью радиооборудования, способного воспроизвести соответствующие тональные сигналы. Подобные атаки известны как атаки повторного воспроизведения, предполагающие записи и последующее воспроизведение ранее посланных корректных сообщений.

Хакеры, активировавшие сирены в Далласе, вероятно, имели доступ к документации, описывающие необходимые тональные сигналы. Злоумышленники воспроизвели сигналы, а затем раз за разом повторяли их.


Источник: Новости - SecurityLab.ru

Хакеры могут взломать подключенные к сотовой сети духовки AGA

Злоумышленники могут удаленно включать и выключать «умные» духовые шкафы AGA с помощью одного лишь текстового сообщения. Все, что для этого нужно – номер телефона духовки.

Проблема затрагивает модели AGA iTotal Control, оснащенные SIM-картой и аппаратным обеспечением для подключения к сотовой сети. Благодаря подключению к сети сотовой связи духовка способна получать команды в текстовых сообщениях. Пользователь может отправлять их непосредственно со своего телефона, через приложение или через сайт производителя.

Как сообщают специалисты британской компании Pen Test Partners, злоумышленники могут отправлять духовке несанкционированные команды без ведома ее владельца. AGA iTotal Control получают команды не по Wi-Fi, а с помощью модуля связи Tekelek и GSM SIM-карты крупной британской телекоммуникационной компании EE. Для того чтобы иметь возможность удаленно управлять духовым шкафом, пользователям приходится ежемесячно платить сотовому оператору £6 (около 426 руб.).

Поскольку AGA iTotal Control не проверяет, от кого получено сообщение, любой, кому известен номер «симки» духовки, может отправить ей команду. Удаленно включив электрический духовой шкаф без ведома жертвы, злоумышленник может «накрутить» счет за электроэнергию. Выключив духовку в неподходящее время, злоумышленник может испортить ужин.

Подобрать номер SIM-карты также не составляет труда. Если вводить неправильный номер на сайте AGA, будет выдаваться ошибка. Путем простого перебора можно вычислить легитимный номер и отправлять духовке неавторизованные команды. Более того, сайт использует незащищенное подключение по HTTP, и любой желающий может перехватить трафик.


Источник: Новости - SecurityLab.ru

12 апреля 2017 г.

Обнаружен способ «обмана» датчиков отпечатков пальцев

Как известно, отпечатки пальцев у каждого человека являются уникальными и двух одинаковых не существует. Тем не менее, по данным исследователей Нью-Йоркского университета и Университета штата Мичиган, даже частично совпадающие отпечатки пальцев могут обмануть биометрические системы аутентификации. Те есть, смартфоны и другие электронные устройства с дактилоскопическими датчиками являются не такими защищенными, как принято считать.

Проблема заключается в том, что из-за своих слишком маленьких размеров датчики сканируют не всю поверхность пальца, а только небольшую ее часть. Кроме того, некоторые мобильные устройства позволяют сохранять сразу несколько отпечатков, и идентификация пользователя происходит, если совпал какой-нибудь из них.

Как предположили исследователи, у многих людей фрагменты отпечатков могут совпадать, и злоумышленники способны создать универсальный «мастер-отпечаток» для обхода биометрической системы аутентификации. Ученые проанализировали 8,2 тыс. фрагментов отпечатков пальцев и нашли множество совпадений. С помощью коммерческого ПО для верификации отпечатков пальцев они обнаружили 92 потенциальных «мастер-отпечатка» для каждой группы из 800 случайно отобранных отпечатков. «Мастер-отпечатком» исследователи считали фрагмент, совпадающий по крайней мере с 4% остальных в группе.

Отметим, в ходе исследования из 800 полных отпечатков целой поверхности пальца был обнаружен только один «мастер-отпечаток». Исследователи проанализировали универсальный «мастер-отпечаток» и разбили на фрагменты. Как оказалось, с помощью фрагментов универсального отпечатка обойти систему аутентификации еще легче.


Источник: Новости - SecurityLab.ru

IoT-ботнет Amnesia эксплуатирует известную уязвимость в DVR-устройствах

Специалисты Palo Alto Networks обнаружили новую вариацию ботнета Tsunami, который строится на базе IoT-устройств. Преимущественно в состав ботнета входят DVR-девайсы китайского производителя TVT Digital, которые продаются по всему миру более чем под 70 различными брендами.

В 2016 году исследователь Ротем Кернер (Rotem Kerner), специалист по безопасности из компании RSA Security, обратил внимание на то, что у многих компьютеров, пораженных вредоносом Backoff, на портах 81, 82 и 8000 запущен небольшой веб-сервер. Недолгие изыскания показали, что этот веб-сервер служит для доступа к камерам видеонаблюдения и DVR-девайсам, которые выпускает китайская фирма TVT Digital.

Кернер быстро обнаружил, что Shodan находит около 30 000 таких камер. Также исследователь без особого труда нашел уязвимость в софте производителя. Оказалось, что при обработке запроса веб-сервер без проверки вставляет фрагмент адреса страницы в командную строку. Один правильно сформированный URL и устройство исполнит любую команду атакующего.

Связаться с представителями TVT Digital Кернер не сумел, и в результате обнаруженная им RCE-уязвимость так и осталась неисправленной. Так как эксплоит был доступен публично, злоумышленники поспешили взять баг на вооружение, и атаковать уязвимые устройства TVT Digital. Уже в прошлом году эти девайсы стали сердцем многих IoT-ботнетов, но преимущественно построенных на базе вредоноса Mirai.

Теперь, согласно сообщению аналитиков Palo Alto Networks, устройства TVT Digital вновь находятся под атакой, однако ответственность лежит на другой малвари. Вредонос, который исследователи назвали Amnesia, является наследником известной малвари Tsunami, предназначенной для атаки на IoT- и Linux-девайсы, c целью создания ботнета для DDoS-атак.

Исследователи отмечают, что Amnesia обзавелась новыми функциями, в частности, «научилась» определять, не пытаются ли исследователи запустить ее в песочнице или на виртуальной машине. Хуже того, если Amnesia заподозрит, что ее пытаются изучать, малварь мстительно удалит не только себя, но очистит всю систему вообще.

Согласно Shodan, в настоящее время в сети можно обнаружить более 50 000 IoT-устройств, уязвимых перед описанными атаками, тогда как по данным Censys, таких девайсов насчитывается до 705 000. Надо полагать, реальное количество лежит где-то посередине, но не все уязвимые устройства произведены TVT Digital.


Источник: «Хакер»

10 апреля 2017 г.

Неизвестные хакеры активировали 156 сирен тревоги по всему Далласу

В ночь с 7 на 8 апреля 2017 года жителям американского Далласа в штате Техас не удалось выспаться. По всему городу неожиданно заработали 156 аварийных сирен, которые обычно оповещают о приближении торнадо. По словам жителей, сирены заработали после полуночи и суммарно включались не менее дюжины раз. Примерно в 1:20 ночи городские власти были вынуждены отключить систему вообще, убедившись, что никакой чрезвычайной ситуации на самом деле не наблюдается. Однако причиной столь неожиданного включения сигнала тревоги стал отнюдь не технический сбой.

Представители местной службы по чрезвычайным ситуациям сообщили, что активация системы произошла не из-за сбоя, но по чьему-то злому умыслу: неизвестные включили сирены по всему городу нарочно. При этом власти уже исключили версию работы инсайдера и назвали случившееся взломом, причем осуществленным откуда-то из самого Далласа. Поначалу специалисты пытались отключить тревогу или хотя бы звук сирен, но неизвестные атакующие активировали сирены снова, именно поэтому город в итоге «прослушал» как минимум двенадцать волн атаки. В настоящее время продолжается расследование случившегося, систему перезагрузили и запустили снова, но специалисты еще продолжают тестирование.

Если атакующие хотели напугать горожан, сыграв с ними злую шутку, им это определенно удалось. Начиная с 23:30 пятницы и заканчивая 3:30 субботы на пульт экстренной службы 911 поступило более 4400 звонков, что вдвое превышает обычное количество обращений в эти часы. В пиковый момент атаки ответов операторов на линии ожидали несколько сотен человек. Ниже можно увидеть видео, снятое в эту неспокойную ночь очевидцем.

Фото: Leif Skoogfors/FEMA   


Источник: «Хакер»

Хакеры больше года эксплуатируют уязвимость в китайских IoT-устройствах

Безответственный китайский продавец видеорегистраторов до сих пор не исправил уязвимость, уже больше года эксплуатируемую операторами IoT-ботнетов. Данная уязвимость позволяет злоумышленникам удаленно выполнить код путем отправки простого запроса и получить полный контроль над устройством.

Проблема была обнаружена в марте прошлого года исследователем Ротемом Кернером (Rotem Kerner) в прошивке продуктов китайской компании TVT. К сожалению, компания не является производителем, а лишь продавцом. То есть, вендоры покупают у нее устройства, ставят свои логотипы и продают под различными торговыми марками. Кернеру удалось выявить 70 брендов, продающих уязвимые продукты от TVT. Исследователь несколько раз безуспешно пытался связаться с компанией, однако уязвимость до сих пор остается неисправленной.

Первый крупный ботнет из устройств от TVT был обнаружен в июне 2016 года экспертами компании Sucuri, состоял из 25 тыс. ботов и использовался для осуществления DDoS-атак на уровне приложений мощностью до 50 тыс. запросов в секунду.

Согласно недавнему отчету Palo Alto Networks, устройства от TVT атакует новое вредоносное ПО Amnesia, объединяющее их в крупный ботнет для осуществления DDoS-атак. Вредонос создан на базе более старой версии Tsunami для IoT-устройств под управлением Linux. Новая модификация представляет собой первое вредоносное ПО для устройств «Интернета вещей», способное обнаруживать песочницу. До сих пор такой функцией обладали только вредоносы для Android и Windows.

Amnesia может определять, когда исследователи безопасности пытаются выполнить его на виртуальной машине. В таких случаях вредонос удаляет всю файловую систему виртуальной машины – функция, ранее не встречавшаяся исследователям.


Источник: Новости - SecurityLab.ru

8 апреля 2017 г.

Обнаружен вредонос BrickerBot, который умышленно «убивает» IoT-устройства

Специалисты компании Radware бьют тревогу: обнаружена странная малварь BrickerBot, которая выводит из строя IoT-устройства, умышленно повреждая ядро и делая невозможным хранение данных. Серверы-ловушки Radware зафиксировали первые атаки со стороны BrickerBot 20 марта 2017 года. Вредонос «охотится» на устройства Linux BusyBox, и в настоящее время исследователи обнаружили две версии BrickerBot (BrickerBot.1 и BrickerBot.2).

Во время первой фазы атаки BrickerBot действует точно так же, как Mirai, Hajime, LuaBot и другая IoT-малварь: он осуществляет словарную атаку, то есть брутфорсит устройство через Telnet, пытаясь подобрать учетные данные. В коде вредоноса для этого жестко закодированы списки логинов и паролей по умолчанию, используемые для разных устройств.

Если учетные данные подошли, и малварь сумела проникнуть в систему, начинается вторая фаза атаки, в ходе которой BrickerBot ломает устройство. Чтобы вывести девайс из строя, BrickerBot использует несколько различных техник, и именно в этом заключается разница между версиями вредоноса. Тем не менее, цель всегда одна – превратить устройство в «кирпич». Для этого BrickerBot выполняет на устройстве следующие действия:

  • портит данные на накопителях устройства;
  • отключает TCP timestamps (устанавливая значение net.ipv4.tcp_timestamps=0), из-за чего соединение с интернетом становится проблематичным;
  • устанавливает значение kernel threads на единицу (kernel.threads-max=1) против обычных 10 000 для девайсов на базе ARM, что практически останавливает все операции ядра;
  • перезагружает устройство.

В результате устройство перестает работать за считанные секунды после заражения. Эксперты относят такие атаки к PDoS (Permanent Denial of Service, «Перманентный отказ в обслуживании»), а также называют phlashing.

Аналитики Radware уже зафиксировали 1895 попыток PDoS’а за последние четыре дня, и атаки продолжаются. Эксперты отмечают, что BrickerBot.1 распространяется с IP-адресов по всему миру и, судя по всему, эти адреса принадлежат сетевым устройствам Ubiquiti, на которых работает устаревшая версия сервера Dropbear SSH. Более сложный BrickerBot.2, выполняющий больше вредоносных команд, скрывается за нодами Tor и его практически невозможно отследить. Впрочем вторая версия пока ответственна лишь за 333 атаки.

Эксперты пишут, что BrickerBot – это редкий в наши дни образец малвари, которая создана не ради финансовой выгоды. Обычно IoT-вредоносы заражают устройства, чтобы сделать их частью ботнета, использовать для DDoS-атак, проксирования трафиками и других схожих целей. Однако BrickerBot просто ломает. Никакого «второго дна» здесь нет.

Исследователи предполагают, что автор BrickerBot может быть своего рода «мстителем», который зачищает сеть от небезопасных устройств, преподавая жестокий урок их владельцам. Похожие вредоносы появлялись и ранее, к примеру, можно вспомнить малварь Linux.Wifatch, которая взламывала небезопасные роутеры, чтобы улучшить их безопасность. Впрочем, BrickerBot действует гораздо жестче.

Виктор Геверс (Victor Gevers), глава GDI.foundation и известный ИБ-эксперт, предполагает, что «кто-то пытается разгрести бардак жесткими методами». Геверс соглашается, что такой подход эффективен, однако нелегален, опасен и несет немалые риски.

«Представьте, что отключили камеру наблюдения в посольстве. Это стоит рассматривать как акт агрессии против конкретной страны? — приводит простой пример Геверс. — Такие атаки очень легко осуществить, и я думаю, это только начало. Я не хотел бы вешать на эту работу ярлык нехорошей, но, полагаю, существуют другие, менее деструктивные способы достижения той же цели. Вместо “окирпичивания” [устройств] можно сохранить их работоспособность и просто исправить уязвимости. Это требует большей тонкости».

Тем не менее, эксперт даже поблагодарил автора BrickerBot и решил через СМИ сделать ему предложение:

«Как глава GDI.foundation я хотел бы поблагодарить того, что стоит за этим. Ваше “просветительское” послание было услышано четко и ясно. Я буду очень признателен, если [авторы BrickerBot] свяжутся с нами, чтобы мы вместе могли увести в оффлайн оставшиеся небезопасные IoT-устройства, но сделать это немного более конструктивно», — говорит Геверс.


Источник: «Хакер»

6 апреля 2017 г.

В прошивке ПЛК Schneider Electric обнаружен ряд уязвимостей

Исследователи из немецкой компании OpenSource Security обнаружили ряд уязвимостей в программируемых логических контроллерах Schneider Electric Modicon TM221CE16R с версией прошивки 1.3.3.3. Проблемы являются критическими и с легкостью могут быть проэксплуатированы злоумышленниками.

Первая уязвимость затрагивает функцию Project Protection, предусмотренную для защиты файлов проекта управления от несанкционированного доступа. Пароль для проекта хранится в зашифрованном XML - файле и, как пояснили эксперты, для его расшифрования используется ключ «SoMachineBasicSoMachineBasicSoMa». Проблема заключается в том, что данный ключ является одинаковым для всех систем и его нельзя изменить. Кроме того, прошивка содержит неизменяемый пароль для Project Protection. В итоге злоумышленник может расшифровать XML - файл с помощью стандартного пароля и получить доступ к паролю, установленному пользователем. Этот пароль затем может использоваться для получения доступа к проекту и его модификации при помощи ПО SoMachine Basic.

Вторая уязвимость связана с защитной функцией Application Protection, предотвращающей перенос приложения из ПЛК в проект SoMachine Basic. Специалисты обнаружили, что при помощи простой команды, отправленной по протоколу Modbus TCP через порт 502 на контроллер можно получить незашифрованный пароль для Application Protection. При помощи программы SoMachine Basic атакующий может использовать пароль для выгрузки приложения с контроллера, его модификации и повторной загрузки на устройство.

Исследователи проинформировали Schneider Electric об уязвимостях в декабре минувшего года, однако производитель не предпринял никаких действий по устранению проблем. В настоящее время обновление прошивки, исправляющее вышеуказанные уязвимости, недоступно.


Источник: Новости - SecurityLab.ru

Эксперты сообщили о вымогательском ПО ClearEnergy для ПЛК

Исследователи CRITIFENCE и SCADA/ICS Cyber Threats Research Group представили новый PoC-код вымогательского ПО для программируемых логических контроллеров (ПЛК). ClearEnergy может стирать релейные диаграммы ПЛК и способен заразить целый ряд моделей устройств от крупнейших производителей АСУ ТП и SCADA-систем. В частности, к атакам с использованием вымогателя уязвимы ПЛК от Schneider Electric (с версиями Unity OS 2.6 и выше),GE и Allen-Bradley (MicroLogix).

Принцип действия ClearEnergy такой же, как и у привычного вымогательского ПО, но с одним большим отличием. Если обычные вымогатели шифруют хранящиеся на компьютере данные и требуют у жертвы выкуп за их расшифровку, то ClearEnergy ориентирован на АСУ ТП и SCADA-системы на электростанциях, водоочистных станциях и других предприятиях критической инфраструктуры.

Попав на систему, вымогатель сканирует ее на наличие уязвимых ПЛК с целью получить релейную диаграмму и отправить ее на удаленный сервер. ClearEnergy эксплуатирует известные уязвимости CVE-2017-6032 и CVE-2017-6034 в протоколе UMAS, используемом в продуктах Schneider Electric. Проблема связана с ненадежными ключами сессии и позволяет обойти механизмы аутентификации.

Вымогатель запускает таймер, активирующий процесс удаления релейной диаграммы со всех ПЛК. Если в течение часа жертва не заплатит требуемую сумму, начнется удаление.

Атаки на объекты критической инфраструктуры с использованием вымогательского ПО чреваты такими серьезными последствиями, как отключение электро-, тепло- и водоснабжения в целых населенных пунктах. По словам экспертов, критическая инфраструктура является одной из наиболее привлекательных целей для террористов, разного рода активистов, преступников и вражеских государств, поскольку атаки на предприятия будут иметь наибольший эффект.

Напомним, в феврале текущего года исследователи Технологического института Джорджии (США) разработали PoC-код вымогательского ПО, способный изменять параметры ПЛК.


Источник: Новости - SecurityLab.ru

31 марта 2017 г.

Объекты критической инфраструктуры под ударом

Новое исследование «Лаборатории Касперского» обнажило растущую проблему кибератак на компьютеры, используемые в промышленной сфере. В первом регулярном отчете о состоянии кибербезопасности на промышленных объектах Центра ICS CERT при «Лаборатории Касперского» говорится о постоянном росте числа атакованных машин во второй половине 2016 года.

По данным отчета, в период с июля по декабрь с вредоносным ПО в России столкнулось 42% компьютеров, так или иначе относящихся к технологической сети предприятий. В 28% случаев вредоносное ПО попадало на компьютеры из Интернета, в 6% – при подключении переносных накопителей. В сетях промышленных предприятий обнаружено в общей сложности 20 тыс модификаций вредоносного ПО.

Тем не менее, в большинстве случаев угрозы попадали в компьютеры случайно, а не вследствие целевых атак. Это тренд характерен не только для России: недавнее исследование Dragos показало, что около 3 тыс. промышленных предприятий подвержены атакам вредоносного ПО, но большей частью эти атаки ни к чему не приводят.

Компьютеры заражаются обычными зловредами вроде Sivis, Ramnit и Virut, которые не содержат специальных компонентов для вывода из строя индустриального оборудования. Например, в результате известной «атаки» на АЭС в Германии сеть предприятия была заражена червем Conficker, неспособным причинить вред оборудованию. Тем не менее небольшая часть инцидентов, проанализированных в Dragos, является целевыми атаками, направленными на вывод из строя объектов критической инфраструктуры.

Также в отчете «Лаборатории» говорится о том, что ICS CERT обнаружил серию фишинговых атак, начавшихся не позднее июня 2016 года и продолжающихся до сих пор. Они направлены преимущественно на промышленные компании; в общей сложности атакам подверглись более 500 организаций в более чем в 50 странах мира.

В системах промышленной автоматизации, в том числе на объектах критической инфраструктуры, обнаружено 75 незакрытых уязвимостей, в том числе 58 максимально критичных для безопасности предприятий. Из 75 обнаруженных в 2016 году «Лабораторией Касперского» уязвимостей к середине марта 2017 года производителями промышленного ПО было закрыто только 30.

Практика патчинга и поиска уязвимостей систем в промышленном секторе до сих пор оставляет желать лучшего, и тренд нельзя назвать обнадеживающим. Работа с уязвимостями в цикле разработки ПО пока не систематизирована: нет налаженного процесса выявления и приоритизации уязвимостей; обновления безопасности для уже используемого ПО не выпускаются, вместо этого производитель предпочитает учитывать информацию о них в следующем релизе этого ПО.

Также исследования показывают, что процесс установки критических обновлений для владельцев АСУ ТП промышленных объектов либо слишком трудоемкий, либо не является приоритетной задачей в общем цикле жизнедеятельности системы. В результате на многих предприятиях критические обновления на различные компоненты промышленных систем не устанавливаются годами, что делает эти предприятия уязвимыми в случае кибератак злоумышленников.

Среди вредоносных программ, обнаруженных в технологических сетях, преобладают троянцы. Так как большей частью зловреды попадают на компьютеры, подключенные к критической инфраструктуре, нецеленаправленно, промышленным сетям угрожают те же самые типы вседоносных программ, что и корпоративным. Тем не менее, исследование показало, что интерес киберпреступников к промышленным объектам возрос: из всех целевых атак, обнаруженных «Лабораторией Касперского» в 2016 году, каждая четвертая была направлена в том числе и на предприятия.

В связи с этим в актуальной доктрине кибербезопасности России особое внимание уделено угрозам, направленным на объекты критической инфраструктуры. Изоляция промышленных сетей от Интернета, раньше считавшаяся панацеей, больше не может рассматриваться как мера защиты. Доля попыток заражений вредоносным ПО с участием переносных носителей, заражений резервных копий, использование в сложных атаках изощренных способов переноса данных из изолированных сетей свидетельствуют о невозможности избежать рисков путем простого отключения системы от интернета.

Также стоит отметить, что уровень осведомленности об актуальных трендах и угрозах информационной безопасности на промышленных предприятиях достаточно низок, что создает дополнительные риски.


Источник: Threatpost | Новости информационной безопасности

Siemens предлагает временную защиту для RUGGEDCOM

Используемые на хозяйственных объектах многофункциональные продукты линейки RUGGEDCOM производства Siemens содержат ряд незакрытых уязвимостей. Во вторник группа быстрого реагирования на киберинциденты в сфере управления производственными процессами (ICS-CERT) опубликовала соответствующее предупреждение, перечислив бреши, подвергающие конечные точки VPN и брандмауэры риску атаки на перехват административного управления.

Siemens опубликовала лишь рекомендации по защите от эксплойта. Будут ли выпущены патчи, неясно, так как некоторые модели сетевых устройств RUGGEDCOM, идентифицированные как уязвимые, были сняты с поддержки более года назад. Со слов разработчика, уязвимые устройства используются в так называемых «неблагоприятных условиях среды» – на электрических подстанциях, в пунктах управления дорожным движением.

«28 марта 2017 года Siemens опубликовала информационный бюллетень SSA-327980 и выпустила инструмент для устранения всех пяти уязвимостей, затрагивающих устройства на базе RUGGEDCOM ROX I, – заявил журналистам Threatpost представитель компании-разработчика. – Если появится новая информация, бюллетень будет обновлен».

Уязвимости обнаружил и сообщил о них вендору Максим Рупп (Maxim Rupp). Данных об активном эксплойте какого-либо из пяти багов у исследователя нет, однако он предупредил, что атака не потребует особых технических навыков. По свидетельству Руппа, уязвимыми являются сетевые устройства серии RX1000 с прошивкой версии ROX1.16.1 и веб-интерфейсом Webmin 1.160-2.rr880.

«Неискушенный злоумышленник сможет удаленно и без аутентификации скомпрометировать доступность, целостность и конфиденциальность промышленного устройства Siemens RX1000, – пишет исследователь в бюллетене. – В итоге маршрутизатор будет служить точкой входа в сеть, в которой он расположен. Успешный эксплойт этих уязвимостей может значительно снизить защищенность сетевой зоны, в которой размещено уязвимое устройство. Последствия для промышленных организаций зависят от многих факторов, которые для каждого предприятия индивидуальны».

Из пяти найденных им уязвимостей Рупп особо выделил две как наиболее опасные: возможность неограниченной загрузки файлов и неправильная конфигурация сервера. В серверных настройках исследователь обнаружил две ошибки. Во-первых, на сервере отсутствует защита содержимого директорий, и списки приватных данных находятся в открытом доступе. Во-вторых, все запущенные процессы исполняются из-под учетной записи root.

«Используя слабость конфигурации, злоумышленник может расширить доступ для дальнейшей компрометации инфраструктуры, – поясняет Рупп. –  Возможность отслеживания и модификации трафика позволяет проводить различные атаки: DoS, MitM, угоны сессий. Это может поставить под угрозу другие устройства, расположенные в одной сети с уязвимым RX1000».

Возможность загрузки произвольных файлов, по словам исследователя, возникла из-за отсутствия верификации загружаемого контента и ограничений на доступ к загруженным данным пользователя. «Это позволяет атакующему загружать скрипты в Webroot с целью выполнения произвольных команд на целевом хосте, – пишет Рупп. – Директория для загрузки определяется не приложением, а на стороне клиента, поэтому загрузку файлов можно осуществлять, управляя ею с клиента. Это ошибка сценария применения приложения, которым, как оказалось, можно пользоваться с ограниченными правами доступа. В результате автор атаки сможет воспользоваться этим недочетом для получения доступа к другим внутренним хостам».

Еще одна уязвимость, найденная Руппом, вызвана неадекватной нейтрализацией входных данных при создании веб-страниц. В ходе тестирования приложение обработало порядка 20 потенциально опасных спецсимволов вроде <, > и «‘». «Эти специальные символы могут быть интерпретированы как элементы сценария, обрабатываемые в браузере, что открывает возможность для межсайтового скриптинга (XSS). – предупреждает Рупп. – XSS-атака позволит злоумышленнику выполнить произвольный JavaScript-код в контексте браузера безобидного пользователя и получить доступ к конфиденциальным данным».

Остальные обнаруженные уязвимости – это обход каталога, позволяющий без аутентификации читать произвольные файлы через веб-интерфейс и получить доступ к конфиденциальным данным, и CSRF с доступом через тот же интерфейс на TCP-порту 10000.


Источник: Threatpost | Новости информационной безопасности