CISA (ICS-ALERT-19-225-01) je izdala javno poročilo o ranljivostih s t.i. preizkušanjem koncepta (proof-of-concept – PoC), ki vplivajo na Mitsubishi Electric smartRTU (različice 2.02 in predhodnje) in INEA ME-RTU (različice 3.0 in predhodnje), izdelke na oddaljenih terminalskih enotah.

 

V poročilu obstaja več ranljivosti, ki bi jih bilo mogoče izkoristiti za izvedbo škodljive kode s korenskimi privilegiji (root privilegiji). CISA je o poročilu že obvestila Mitsubishi Electric in jih prosila, naj potrdijo ranljivosti in odkrijejo možnost omilitve le-teh. CISA izdaja to obvestilo z namenom zgodnjega obveščanja in določitve izhodiščnih ukrepov za zmanjšanje varnostnih tveganj za kibernetske napade.

Poročilo je vsebovalo podrobnosti o ranljivosti in kodo izkoriščanja PoC za naslednje ranljivosti:

 

Tip ranljivosti Oddaljena izvedba kode Vpljiv
Iniciranje OS ukaza DA Možno oddaljeno izvajanje kode s skrbniškimi pravicami
Nepravilen nadzor dostopa DA Možno oddaljeno izvajanje kode s skrbniškimi pravicami
Skladiščeno skriptno spletno mesto (Stored XSS) DA Možen zagon poljudne kode na ciljnem sistemu
Tovarniško nastavljeni kriptografski ključi DA Možen nepooblaščen dostop/razkritje šifriranih podatkov
Tovarniško nastavljene poverilnice DA Možen nepooblaščen dostop/izvajanje skrbniških ukazov
Shranjevanje gesla v preprostem besedilu DA Možno razkritje uporabniških imen in gesel v preprostem besedilu
Nepravilna privzeta dovoljenja NE Možno razkritje uporabniških imen in neposrednih gesel s strani prijavljenega uporabnika

 

Ranljivost Mitsubishi Electric naprav

Uspešno izkoriščanje ranljivosti Mitsubishi Electric OT naprav lahko napadalcu omogoči izvajanje oddaljene kode s korenskimi privilegiji. O vseh težavah, ki vplivajo na nadzorne sisteme v kritičnih infrastrukturnih okoljih, prijavite CISA.

 

Ranljivost OT naprav Mitsubishi Electric je odkril raziskovalec Xerubus in obvestil CISA ter upošteval 45-dnevno razkritje politike. PoC in poročilo raziskovalca sta bila objavljena na Mogozobo strani.

 

CISA trenutno sodeluje s proizvajalcem in raziskovalcem na področju kibernetske varnosti, da bi zmanjšala možnosti izkoriščanja ranljivosti.

 

Priporočila za omejitev ranljivosti

Trenutno uradnega popravka ranljivosti še ni, zato vam priporočam naslednje korake za zaščito pred napadalci:

 

  • Zagotovite, da imajo naprave ustrezne kontrole pred nepooblaščenim dostopom do omrežja
  • Prepričajte se, da naprave niso izpostavljene ali dostopne prek internetsnega omrežja
  • Prepričajte se, da naprave niso izpostavljene ali dostopne prek poslovnih ali drugih nezaupljivih omrežij
  • Ko bo proizvajalec pripravil popravke programske kode, sprožite ustrezne postopke nadzora in preskušanja popravkov ter testirajte proces delovanja. Če popravkov ne morete namestiti oz. ustrezno preizkusiti, se prepričajte, da je za ranljive naprave vzpostavljen ustrezni nadzor in možnost beleženja dogodkov v SIEM sistemu.

 

V primeru potrebe po oddaljenem dostopu do OT naprav, uporabite varne metode dostopa (SSL oz. IPSEC VPN oddaljen dostop). Zavedati se morate, da imajo VPN klienti ter VPN koncentratorji morda tudi ranljivosti in jih je potrebno posodobiti na trenutno zadnjo različico programske kode. Zavedajte se tudi, da je VPN dostop varen le kot povezane naprave.

 

Pred uvedbo ustreznih obrambnih ukrepov je potrebno izvesti ustrezno analizo vplivov in oceno tveganja.

 

Za nadzor in komunikacijo v OT omrežjih se priporoča ustreze varnostne rešitve kot npr. rešitve proizvajalca Nozomi Network SCADA Guardian s katerim imate pod nadzorom promet v OT omrežjih. Več o rešitvah, s katerimi lahko zagotovite varno in zanesljivo delovanje OT okolja, si lahko preberete v blogu Kaj pa varnost v OT?”

 

Posledice nedelovanja posameznih sklopov ali celotnega industrijskega oz. proizvodnega okolja so za podjetje lahko katastrofalne. Zaradi tega je potrebno skrbno načrtovati ukrepe za informacijsko komunikacijsko varnost sistemov. Pri tem vam lahko pomagamo z ekipo strokovnjakov podjetja Smart Com.

 

Prispevek je pripravil Janez Peršin.