קלארוטי חשפה חולשה קריטית בבקרים לתשתיות קריטיות
החולשה (ציון CVSS מקסימלי של 10.0) משפיעה על מנגנון האימות בין בקרי PLC של Rockwell לתחנות ההנדסה שלהם, ועלולה לחשוף מפעלים ומתקני תשתית לפריצה מרחוק
עמי רוחקס דומבה
| 02/03/2021
מימין: טל קרן ושרון בריזינוב. קרדיט צילום: אמיר פרמינגר
חוקרים של חברת הסייבר התעשייתי קלארוטי (Claroty) מתל אביב, חשפו חולשת אבטחה חמורה במנגנון אימות התקשורת בין בקרי PLC של חברת Rockwell Automation לבין תחנות ההנדסה שלהם. חולשה זו, המשפיעה על סוגים רבים של בקרי Logix, עלולה לאפשר אפילו לתוקף בעל רמת מיומנות נמוכה, לעקוף את דרישת האימות ולהתחבר מרחוק כמעט לכל אחד מבקרי ה-Logix של רוקוול. החולשה זכתה לציון CVSS 10.0, הגבוה ביותר האפשרי.
החוקרים בצוות קלארוטי, שרון בריזינוב וטל קרן, אשר הובילו את המחקר, מסבירים כי חולשת האבטחה נעוצה בעובדה שתוכנת Studio 5000 Logix Designer של רוקוול אוטומציה, עלולה לאפשר את חשיפתו של מפתח הצפנה חסוי המשמש לאימות התקשורת בין בקרי Logix לתחנות ההנדסה שלהם. ניצול החולשה עלול לאפשר לתוקף לעקוף מרחוק את מנגנון האימות ולהתחבר מרחוק ישירות לבקרי Logix, שחלקם נמצאים בליבת תהליכי ייצור קריטיים.
לאחר מכן התוקף יכול "לחקות" תחנת הנדסה לגיטימית ולפגוע במגוון דרכים בארגון, כמו למשל להעלות קוד זדוני לבקר, להוריד ממנו מידע, או להתקין קושחה חדשה ולשנות לחלוטין את ההגדרות שלו. תרחישים אלה עלולים לפגוע במגוון רחב של תהליכי ייצור המשתמשים בבקרי PLC, לרבות תהליכים המשלבים מנועים, משאבות, אורות, מאווררים, מפסקים וציוד מכני נוסף.
כדי לפתור את חולשת האבטחה החמורה, קלארוטי דיווחה עליה לחברת רוקוול אוטומציה אשר המליצה ללקוחותיה לבצע מספר צעדים כדי להקטין את הסיכון לפגיעה בבקרים ובתהליכי ייצור: ראשית, רוקוול ממליצה ללקוחותיה להשאיר את מתג ההפעלה של הבקרים על מצב "Run" וכן להשתמש בהגדרות CIP Security לתקשורת בין תוכנת Logix Designer לבקרים על מנת למנוע קשרים בלתי מורשים.
רוקוול ממליצה על מספר צעדים נוספים להקטנת החשיפה לחולשת האבטחה, החל בסגמנטציית רשת ובקרות אבטחה ראויות כגון צמצום מרבי של המערכות החשופות לרשת האינטרנט. מערכות שליטה ובקרה צריכות לקבל הגנה של פיירוול ולהיות מבודדות מרשתות חיצוניות ככול שניתן, ומומלץ להשתמש בפתרון מקצועי לאבטחת גישה מרחוק, או לכל הפחות VPN.
החולשה (ציון CVSS מקסימלי של 10.0) משפיעה על מנגנון האימות בין בקרי PLC של Rockwell לתחנות ההנדסה שלהם, ועלולה לחשוף מפעלים ומתקני תשתית לפריצה מרחוק
מימין: טל קרן ושרון בריזינוב. קרדיט צילום: אמיר פרמינגר
חוקרים של חברת הסייבר התעשייתי קלארוטי (Claroty) מתל אביב, חשפו חולשת אבטחה חמורה במנגנון אימות התקשורת בין בקרי PLC של חברת Rockwell Automation לבין תחנות ההנדסה שלהם. חולשה זו, המשפיעה על סוגים רבים של בקרי Logix, עלולה לאפשר אפילו לתוקף בעל רמת מיומנות נמוכה, לעקוף את דרישת האימות ולהתחבר מרחוק כמעט לכל אחד מבקרי ה-Logix של רוקוול. החולשה זכתה לציון CVSS 10.0, הגבוה ביותר האפשרי.
החוקרים בצוות קלארוטי, שרון בריזינוב וטל קרן, אשר הובילו את המחקר, מסבירים כי חולשת האבטחה נעוצה בעובדה שתוכנת Studio 5000 Logix Designer של רוקוול אוטומציה, עלולה לאפשר את חשיפתו של מפתח הצפנה חסוי המשמש לאימות התקשורת בין בקרי Logix לתחנות ההנדסה שלהם. ניצול החולשה עלול לאפשר לתוקף לעקוף מרחוק את מנגנון האימות ולהתחבר מרחוק ישירות לבקרי Logix, שחלקם נמצאים בליבת תהליכי ייצור קריטיים.
לאחר מכן התוקף יכול "לחקות" תחנת הנדסה לגיטימית ולפגוע במגוון דרכים בארגון, כמו למשל להעלות קוד זדוני לבקר, להוריד ממנו מידע, או להתקין קושחה חדשה ולשנות לחלוטין את ההגדרות שלו. תרחישים אלה עלולים לפגוע במגוון רחב של תהליכי ייצור המשתמשים בבקרי PLC, לרבות תהליכים המשלבים מנועים, משאבות, אורות, מאווררים, מפסקים וציוד מכני נוסף.
כדי לפתור את חולשת האבטחה החמורה, קלארוטי דיווחה עליה לחברת רוקוול אוטומציה אשר המליצה ללקוחותיה לבצע מספר צעדים כדי להקטין את הסיכון לפגיעה בבקרים ובתהליכי ייצור: ראשית, רוקוול ממליצה ללקוחותיה להשאיר את מתג ההפעלה של הבקרים על מצב "Run" וכן להשתמש בהגדרות CIP Security לתקשורת בין תוכנת Logix Designer לבקרים על מנת למנוע קשרים בלתי מורשים.
רוקוול ממליצה על מספר צעדים נוספים להקטנת החשיפה לחולשת האבטחה, החל בסגמנטציית רשת ובקרות אבטחה ראויות כגון צמצום מרבי של המערכות החשופות לרשת האינטרנט. מערכות שליטה ובקרה צריכות לקבל הגנה של פיירוול ולהיות מבודדות מרשתות חיצוניות ככול שניתן, ומומלץ להשתמש בפתרון מקצועי לאבטחת גישה מרחוק, או לכל הפחות VPN.
