פרצה חמורה במערכות סקאדה

אם אתם משתמשים ברכיבים ClearSCADA או Ecava IntegraXor המשמשים במערכות סקאדה במתקנים של תשתיות קריטיות, כדאי שתכירו את שתי האזהרות שיצאו בימים האחרונים מה-DHS האמריקאי וה-CERT הבריטי

חוקרים ב-CERT הבריטי קראו לעסקים המעורבים בתשתיות קריטיות להיות ערניים בשל פגם קריטי פוטנציאלי במערכת SCADA. כך על פי דיווח באתר V3.
ההודעה יצאה בעקבות מחקר שערך חוקר אבטחת מידע בשם Luigi Auriemma, כולל הוכחת יכולת לשימוש בפגיעות, בו הוא חשף כי רכיב ה-IntegraXor המשמש במספר רב של תשתיות קריטיות נתון לחסדי האקרים. באמצעות הפגיעות שהוא מצא, יכול האקר להריץ ברכיב קוד זדוני וכן לערוך התקפת מניעת שירות (DDoS) על המערכת.
"ה-CERT מודע לדיווח בגין הפגיעות שמשפיעה על רכיב Ecava IntegraXor המשמש לפיקוח ורכישת נתונים / ממשק אדם מכונה במערכות סקאדה", נאמר בהודעה. "רכיב ה-IntegraXor משמש כיום בכמה תחומים של בקרת תהליכים ב-38 מדינות עם תפוצה גדולה בבריטניה, ארצות הברית , אוסטרליה, פולין , קנדה ואסטוניה. ה-CERT ממליץ למשתמשים לנקוט באמצעי הגנה כדי למזער את הסיכון של ניצול של נקודות תורפה אלה".
באופן ספציפי, נותנים ב-CERT המלצות לצוות אבטחת המידע בחברה. "רצוי שמשתמשים יצמצמו את החשיפה לרשת לכל מכשירי מערכת הבקרה ו/או מערכות ויבטיחו כי אינם נגישים מהאינטרנט. יש לבודד את רשתות מערכת בקרה והמכשירים מאחורי חומת אש, וכן לבודד אותם מהרשת העסקית".
מומחה אבטחה מחברת Trend Micro בשם ריק פרגוסון אמר לאתר כי הפגיעות המופיעה באזהרה היא מסוכנת במיוחד כי היא יכולה באופן תיאורטי להיות מנוצלת על ידי האקרים להשיק מגוון של התקפות, כולל מניעת שירות. "לדברי החוקר, וגם לפי הוכחת יכולת שהוא פרסם, תוצאות פגיעות זו היא לרוב מצב של מניעת שירות. מצב שאמור להטריד בשל הסוגים השונים של סביבות הייצור בהן משתמשים ברכיב ה-Ecava IntegraXor", אמר פרגוסון.
"עם זאת, החוקר גם אמר שבתנאים מסוימים הפגיעות יכולה להביא לביצוע שרירותי של קוד, פעולה אשר יכולות להיות לה השלכות חמורות הרבה יותר, כמו פתיחת דלת לפגיעויות נוספות בעתיד באותן מערכות".
ה-CERT אישר כי הוא יצר קשר עם Ecava ,החברה המייצרת את המערכת, והיא עובדת כדי לזהות ולתקן את הפגם.

בהודעה אחרת של ה-DHS שפורסמה גם באתר threatpost, יש אזהרה למשתמשי מערכות סקאדה שעושים שימוש בתוכנת ClearSCADA של חברת שניידר אלקטריק. הפגיעות נמצאה על ידי חוקרים בשם Adam Crain ו-Chris Sistrunk.

על פי הפרסום, במכונות הפועלות על גרסת תוכנה טרום נובמבר 2013, תוקף יכול ליצור מבנה מיוחד של מסגרות לא רצויות, אשר עלול לגרום לרישום אירועים מוגזם, האטת פעולת הדרייבר, ועלול להוביל למצב של מניעת שירות בפרוטוקול הרשת המבוזרת (DNP3).

בשניידר אלקטריק ממליצים שמשתמשים ב-ClearSCADA ינטרו את תנועת פרוטוקול DNP3 ואת מערכת רישום האירועים שלהם, כדי לזהות כמויות מוגזמות של תנועה או כניסה לא מורשית, סימנים מחשידים שיכולים להעיד על התקפת fuzzing (התקפה שנועדה למצוא באגים בתוכנה) שמנסה לנצל את נקודות התורפה.

מעבר לכך, מומלץ לשדרג את שרת ClearSCA DA SCADA ל-SCADA Expert ClearSCADA 2013 R2 או גרסה עדכנית יותר. משתמשים יכולים גם לעדכן ולקבל את חבילת השירות ששוחררה לאחר נובמבר 2013.

עדכון: תגובת שניידר אלקטריק ישראל

"מחברת שניידר אלקטריק ישראל נמסר כי כל משתמשי ClearSCADA בישראל כבר משתמשים בגרסה העדכנית, אשר אינה חשופה למתקפות המוזכרות בכתבה".