Armis раскрыл критический вектор атаки, который позволяет удаленно захватить промышленные контроллеры Schneider Electric

Пало-Альто, Нью-Йорк, Лондон: июль 2021 г. — Исследователи из Armis, поставщика унифицированной платформы видимости и безопасности, объявили об обнаружении уязвимости обхода аутентификации в программируемых логических контроллерах (PLCs) Modicon компании Schneider Electric, которая может привести к удаленному выполнению кода (RCE). Уязвимость, получившая название ModiPwn, позволяет полностью захватить затронутые устройства с помощью протокола UMAS и затрагивает Modicon M340, M580 и другие модели из серии Modicon. В настоящее время считается, что миллионы этих ПЛК подвержены риску крупномасштабной уязвимости. Такие контроллеры широко используются в производстве, обслуживании зданий, приложениях автоматизации, энергоснабжении, системах отопления, вентиляции и кондиционирования, и это далеко не все.

Как злоумышленник может использовать ModiPwn?

Атака с использованием ModiPwn началась бы с сетевого доступа к Modicon PLC. Посредством этого доступа злоумышленник может использовать недокументированные команды в протоколе UMAS и украсть определенный хэш из памяти устройства. Используя этот хэш, злоумышленник может установить безопасное соединение между контроллером и его управляющей рабочей станцией, чтобы перенастроить контроллер с конфигурацией без пароля. Это позволит злоупотреблять дополнительными недокументированными командами, которые приводят к удаленному выполнению кода — полному захвату устройства.

Затем это можно использовать для установки вредоносного ПО на контроллер, которое изменяет его работу и скрывает существование этих изменений от рабочей станции, которая управляет этим контроллером. CVE для этой уязвимости - CVE-2021-22779.

Изощренные атаки, подобные этой, уже наблюдались и раньше. Например, вредоносное ПО Triton было обнаружено компанией Schneider Electric для защиты контроллеров безопасности, используемых на нефтехимических предприятиях в Саудовской Аравии. Атаки, которые изменяют работу промышленных контроллеров, представляют собой угрозу как для непрерывности бизнеса, так и для безопасности, а атаки, которые скрываются от решений для мониторинга, могут быть чрезвычайно трудными для обнаружения.

Armis и Schneider Electric вместе работали над обеспечением надлежащих мер безопасности. Мы призываем все пострадавшие организации принять меры сейчас же. Проблема с этими устаревшими устройствами, обнаруженными в средах OT, заключается в том, что исторически они развивались по незашифрованным протоколам. На устранение этих слабых базовых протоколов потребуется время. В то же время организации, работающие в этих средах, должны убедиться, что у них есть видимость для этих устройств, чтобы видеть, где находятся их точки воздействия. Это крайне важно для того, чтобы злоумышленники не могли контролировать свои системы или даже удерживать их с целью вымогательства.

Для получения дополнительной информации Armis создала следующие ресурсы, чтобы помочь организациям ориентироваться в уязвимости ModiPwn: https://www.armis.com/research/modipwn/