SCADA termékek sérülékenységei

CH azonosító

CH-4584

Angol cím

SCADA products multiple vulnerabilies

Felfedezés dátuma

2011.03.22.

Súlyosság

Kritikus

Érintett rendszerek

7-Technologies
Genesis32
Genesis64
IGSS - Interactive Graphical SCADA System
Iconics
RealFlex Technologies
RealWin
Siemens
Tecnomatix FactoryLink

Érintett verziók

Siemens Tecnomatix FactoryLink
Iconics Genesis32
Iconics Genesis64
7-Technologies (7T) IGSS
RealFlex Technologies RealWin

Összefoglaló

A SCADA (Supervisory Control and Data Acquisition) rendszerekben használt termékek olyan sérülékenységei váltak ismertté, amelyeket kihasználva a támadók puffer túlcsordulást, többszörös egész szám túlcsordulást, verem és halom alapú túlcsordulást, kétszeres memória felszabadítási hibát vagy szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni, valamint könyvtár bejárásos támadást tudnak végrehajtani.

Leírás

  1. A Siemens Tecnomatix FactoryLink termék hat sérülékenysége vált ismertté PoC (Proof of Concept) kóddal, amelyket kihasználva a támadók:
    • puffer túlcsordulásokat okozhatnak (távolról kihasználható)
    • könyvtár bejárásos támadásokat indíthatnak (távolról kihasználható)
    • szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak

    Bővebb információ: CERT-Hungary CH-4614

  2. Az Iconics Genesis32 (minden 9.21 és ez előtti verziók) és a Genesis64 (minden 10.51 és ez előtti verziók) tizenhárom sérülékenysége vált ismertté PoC (Proof of Concept) kóddal, amelyeket kihasználva a támadók:
    • többszörös egész szám túlcsordulást (multiple integer overflow) okozhatnak
    • kétszeres memória felszabadítási hibát (double-free memory corruption) okozhatnak

    Bővebb információ: CERT-Hungary CH-4619

  3. A 7-Technologies (7T) IGSS termék nyolc sérülékenysége vált ismertté PoC (Proof of Concept) kóddal. Az IGSSdataServer az 12401/TCP porton hallgat, és a következőkre sérülékeny a jelentések szerint:
    • könyvtár bejárásos támadásokat indíthatnak (távolról kihasználható)
    • verem alapú puffer túlcsordulásokat okozhatnak (többszörös, mind távolról kihasználható)
    • távoli kód futtatása lehetséges

    Egy másik szerver is fut az 12397/TCP porton, amely távoli kód futtatásra sérülékeny a helyi fájlrendszeren tárolt tetszőlegesen futtatható fájlokra.
    Bővebb információ: CERT-Hungary CH-4588

  4. A RealFlex Technologies’ RealWin termék nyolc sérülékenysége vált ismertté PoC (Proof of Concept) kóddal. Több funkció is hallgat a 910/TCP és a 912/TCP portokon, amelyek sérülékenyek halom és verem alapú puffer túlcsordulásra. A halom és a verem alapú puffer túlcsordulások távolról történő tetszőleges kód futtatását tehetik lehetővé.
    Bővebb információ: CERT-Hungary CH-4587

Megoldás

Az ICS-CERT azt javasolja a felhasználóknak, hogy a vezérlő rendszer eszközeihez korlátozzák a hálózati hozzáférést. Javasolt az irányító rendszer hálózatait és eszközeit tűzfal mögé elhelyezni és az üzleti hálózatoktól elválasztani. Amennyiben távoli elérés szükséges, célszerű azt biztonságos csatornákon (pl. virtuális magánhálózaton – VPN) bonyolítani.

Azok a szervezetek, amelyek gyanús tevékenységet észlelnek, saját belső szabályaik szerint járjanak el, információikat pedig továbbítsák az ICS-CERT felé elemzésre és egyéb incidensekkel történő összevetésre.