info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

کشف ۸ آسیب‌پذیری در نرم‌افزار اتوماسیون آزاد؛ دو مورد حیاتی

خلاصه: Cisco Talosهشت آسیب‌پذیری را در نرم‌افزار اتوماسیون آزاد (Open Automation Software) کشف کرد که دو مورد از آن‌ها حیاتی بودند که برای بسیاری از زیر ساخت‌ها خطر ایجاد می‌کنند.

نقص‌های مهم در پلتفرم محبوب مورد استفاده توسط سیستم‌های کنترل صنعتی (ICS) که امکان دسترسی غیرمجاز به دستگاه، اجرای کد از راه دور (RCE) یا انکار سرویس (DoS) را فراهم می‌کند، می‌تواند امنیت زیرساخت‌های حیاتی را تهدید کند. محققین Jared Rittle از Cisco Talos در مجموع هشت آسیب‌پذیری را در پلتفرم نرم‌افزار اتوماسیون باز (OAS) کشف کردند که دو مورد از آن‌ها حیاتی است که جدی‌ترین آن‌ها به مهاجم اجازه می‌دهد تا کد دلخواه را بر روی ماشین هدفمند اجرا کند.OAS  ارائه شده توسط شرکتی به همین نام  انتقال داده‌ها را بین دستگاه‌ها و برنامه‌های کاربردی، از جمله نرم‌افزار و سخت‌افزار، آسان می‌کند. به گفته وب‌سایت OAS، حرکت و تبدیل داده‌ها را برای فرآیندهای مهم تجاری مانند یادگیری ماشین، داده‌کاوی، گزارش‌دهی و تجسم داده‌ها امکان‌پذیر می‌کند.

پلتفرم OAS به طور گسترده در سیستم‌هایی استفاده می‌شود که در آنها طیف وسیعی از دستگاه‌ها و نرم‌افزارهای متفاوت نیاز به برقراری ارتباط دارند، به همین دلیل است که اغلب در ICS برای اتصال دستگاه‌های صنعتی و IoT، سیستم‌های SCADA، نقاط شبکه، و برنامه‌های سفارشی و APIها و سایر موارد یافت می‌شود. برخی از شرکت‌هایی که از این پلتفرم استفاده می‌کنند عبارتند از: اینتل، ماک تراکس، نیروی دریایی ایالات متحده، JBT AeroTech و Michelin.

زیرساخت‌های حیاتی در معرض خطر

حضور پلتفرم OAS در این سیستم‌ها باعث می‌شود که نقص‌های این سیستم‌ها بسیار خطرناک باشد. یک متخصص امنیتی مشاهده کرد که این دستگاه‌ها اغلب مسئول عملیات فرآیندهای بسیار حساس درگیر در صنایع مهم مانند تاسیسات و تولید هستند. کریس کلمنتز، معاون معماری راه‌حل‌ها در شرکت امنیتی Cerberus Sentinel، اظهار داشت مهاجمی که توانایی مختل کردن یا تغییر عملکرد آن دستگاه‌ها را دارد، می‌تواند آسیب فاجعه‌باری را به تاسیسات زیرساختی حیاتی وارد کند. او گفت، آنچه می‌تواند به ویژه در حملات ICS خطرناک باشد این است که ممکن است بلافاصله آشکار نباشند که می‌تواند تشخیص آنها را سخت کند و به آنها اجازه می‌دهد آسیب‌های قابل توجهی وارد کنند در حالی که اپراتورها متوجه نیستند. کلمنتز از کرم استاکس نت بدنام که بیش از ۱۰ سال پیش منتشر شد به عنوان نمونه ای از این که تهدید ICS در صورت پرواز زیر رادار چقدر می‌تواند باعث تخریب شود نام برد. استاکس‌نت یک مطالعه موردی در مورد این خطرات بود، زیرا بلافاصله دستگاه‌های کنترل صنعتی مورد نظر خود را خراب نکرد، بلکه عملکرد آن‌ها را به گونه‌ای تغییر داد که باعث شود اجزای صنعتی حیاتی در نهایت به طور فاجعه‌بار از کار بیفتند، در حالی که به اشتباه به سیستم‌های نظارتی گزارش می‌دادند. همه چیز به طور عادی کار می‌کرد.

 آسیب‌پذیری‌ها

از میان ایرادات موجود در OAS که توسط Cisco Talos کشف شده است، موردی که بیشترین امتیاز را در CVSS (9.4)‎ دارد به‌عنوان CVE-2022-26833 ردیابی می‌شود. به گفته محققان، این یک نقص احراز هویت نامناسب در REST API در OAS است که می‌تواند به مهاجم اجازه دهد یک سری درخواست‌های HTTP برای استفاده غیرقانونی از API ارسال کند.

با این حال، آنچه توسط محققان به عنوان جدی‌ترین نقص در نظر گرفته می‌شود، امتیاز ۹.۱ را در CVSS کسب کرد و به‌عنوان CVE-2022-26082ردیابی می‌شود. CVE-2022-26082 آسیب‌پذیری برای نوشتن فایل در عملکرد OAS Engine SecureTransferFiles است که می‌تواند به مهاجم اجازه دهد تا کد دلخواه را از طریق یک سری درخواست‌های شبکه ساخته‌شده خاص روی ماشین مورد نظر اجرا کند.

آسیب‌پذیری‌های دیگری که Cisco Talos کشف کرد، رتبه‌بندی با شدت بالایی را به دست آورد. نقصی که می‌تواند منجر به DoS شود به‌عنوان CVE-2022-26026 ردیابی می‌شود و در عملکرد OAS Engine SecureConfigValues ​​این پلتفرم یافت می‌شود. این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا درخواست شبکه‌ای را ایجاد کند که می‌تواند منجر به از دست دادن ارتباطات شود.

دو آسیب‌پذیری دیگر، CVE-2022-27169 و CVE-2022-26067، می‌توانند به مهاجم اجازه دهند با ارسال یک شبکه خاص، فهرستی را در هر مکانی که توسط کاربر اصلی مجاز است به دست آورند. به گفته محققان، یکی دیگر از آسیب‌پذیری‌های افشای اطلاعات که به‌عنوان CVE-2022-26077 ردیابی می‌شود، به همین روش کار می‌کند. به گفته آنها، با این حال، این نقص همچنین لیستی از نام‌های کاربری و رمزهای عبور پلتفرم را در اختیار مهاجم قرار می‌دهد که می‌تواند در حملات بعدی استفاده شود.

دو آسیب‌پذیری دیگر می‌توانند به مهاجم اجازه دهند تا تغییرات پیکربندی خارجی، از جمله توانایی ایجاد گروه امنیتی جدید و یا حساب‌های کاربری جدید خودسرانه روی پلتفرم را انجام دهد. آنها به عنوان CVE-2022-26303 و CVE-2022-26043 ردیابی می‌شوند.

درخواست به‌روزرسانی‌ها اما زمان‌بر!

Cisco Talos با OAS کار کرد تا مشکلات را حل کند و از افراد خواست تا به‌روزرسانی‌های مربطو را انجام دهند. محققان خاطرنشان کردند، کاربران آسیب دیده می‌توانند با اطمینان از تقسیم بندی مناسب شبکه که سطح دسترسی پایینی به شبکه‌ای را که پلتفرم OAS با آن ارتباط برقرار می‌کند، از بین ببرند. کارشناسان امنیتی خاطرنشان کردند، اگرچه به‌روزرسانی سیستم‌ها بهترین راه برای محافظت در برابر حملات احتمالی در صورت وجود آسیب‌پذیری است، اما اغلب کار سریع و آسانی نیست، به ویژه برای اپراتورهای ICS.

کلمنتز گفت، در واقع، به دلیل ماهیت سیستم‌ها، آفلاین کردن سیستم‌های صنعتی یک کار «بسیار مخرب» است، به همین دلیل است که وصله‌های ICS اغلب ماه‌ها یا سال‌ها به تأخیر می‌افتند.