17 июля 2016

[аналитика] «Лаборатория Касперского» оценила уязвимость АСУ

Согласно результатам исследования, проведенного «Лабораторией Касперского», за последние годы обеспечение кибербезопасности АСУ стало настоятельной необходимостью. Количество уязвимостей в компонентах таких систем растет, как и число компонентов, доступных из Интернета. Поскольку многие решения и протоколы, используемые в АСУ, проектировались для изолированных сред, их растущие уязвимость и доступность открывают широкие возможности для проведения атак на критическую инфраструктуру, в том числе на системы управления транспортом, коммунальным хозяйством, производством продуктов питания и «умными» городами.


Объектами исследования «Лаборатории» являлись две области: уязвимости в компонентах (человекомашинный интерфейс, электрические устройства, АСУ ТП, сетевые устройства, программируемые логические контроллеры) и доступность АСУ из внешних сетей. Данные об уязвимостях были собраны из открытых источников: бюллетеней ICS-CERT, национальной американской базы NVD, публикаций SCADA Strangelove, Siemens Product CERT и т.п. Оценка опасности уязвимостей производилась в соответствии с CVSS v2 и 3. Доступность АСУ через Интернет определялась по показаниям поисковой системы Shodan, с идентификацией вендора и версии продукта по имеющимся сигнатурам (около 2000 записей).

Исследование показало, что за 2011–2015 годы число известных уязвимостей в компонентах АСУ возросло с 19 до 189. Половина из них являются критическими, 42% имеют средний уровень опасности. Для 26 брешей, обнародованных в прошлом году, уже существуют эксплойты. Самыми распространенными проблемами оказались переполнение буфера (9% по итогам 2015 года), жестко заданные параметры доступа (7%) и XSS (7%). Наибольшее количество уязвимостей было обнаружено в устройствах Siemens, Schneider Electric и Hospira.
«Более того, — сетуют «лаборанты», — наши исследования оценки безопасности АСУ показывают, что владельцы часто воспринимают такие системы как «черный ящик», так что заданные по умолчанию параметры доступа в компонентах промышленных систем управления остаются без изменений и могут использоваться для получения удаленного доступа к системе». Использовать такие уязвимости легко, для этого даже не нужно эксплойта. По данным проекта SCADAPASS группы SCADA Strangelove, на настоящий момент известные всем дефолтные идентификаторы доступа содержат 134 компонента АСУ от 50 производителей.

Исследователи установили, что для 85% багов, обнаруженных в 2015 году, уже доступны патчи и новая прошивка, остальные не исправлены (в силу того, что продукт устарел, снят с производства или вендор просто проигнорировал уведомления) или исправлены частично (не во всех уязвимых продуктах). Большинство незакрытых уязвимостей (14 из 19) имеют высокий уровень риска; в качестве примера исследователи привели жестко заданные пароли в 11 904 интерфейсах системы удаленного управления солнечными батареями SMA Solar Sunny WebBox. Такие уязвимости особенно опасны при наличии внешнего доступа.

Поиск через Shodan выявил около 220,67 тыс. компонентов АСУ, доступных из Интернета. Они размещены на 188 тыс. хостах в 170 странах; большинство таких хостов прописаны в США (30,5%) и Европе, в частности в Германии (13,9%) и Испании (5,9%). Среди АСУ, доступных из Интернета, наиболее распространены продукты производства Tridium (11,1%), Sierra Wireless (8,1%) и Beck IPC (6,7%). При этом на 6,3% хостов с доступными извне компонентами было обнаружено более 13 тыс. уязвимостей, чаще всего это CVE-2015-3964 (вшитые учетные данные в Sunny WebBox), а также критические CVE-2015-1015 и CVE-2015-0987 в ПЛК Omron CJ2M.

Проблему усугубляет тот факт, что удаленно доступные АСУ используют незащищенные протоколы передачи данных: HTTP, Niagara Fox, Telnet, EtherNet/IP, Modbus, BACnet, FTP, Omron FINS, Siemens S7 и пр. Исследователи обнаружили открытые для MitM-атак протоколы на 91,6% АСУ, доступных через внешние сети.

«При обеспечении безопасности АСУ изоляция критически важных сред более не может считаться достаточной мерой, — заключают эксперты. — В XXI веке в бизнесе часто бывает необходимо интегрировать АСУ с внешними системами и сетями. При этом увеличивается число злоумышленников, нацеленных на АСУ, растут их возможности и мотивация. Хорошо подготовленные хакеры, вознамерившиеся атаковать физически или логически изолированную сеть АСУ, используют самые разные методы, чтобы достичь своей цели: от заражения жестких дисков или USB-носителей до несанкционированного подключения к Интернету из сети АСУ через смартфоны или модемы персонала, от зараженных пакетов дистрибутивов, полученных от вендора, до проплаченных инсайдеров».

Посему владельцы АСУ должны не только знать об актуальных уязвимостях и угрозах, но также изменить подход к защите, уверены эксперты. Пора перестать всецело полагаться на руководства по эксплуатации и рассматривать АСУ как «черный ящик», нужно смелее вносить в среды изменения, направленные на повышение кибербезопасности, при активной поддержке вендоров.

Источник: Threatpost | Новости ИБ