вектор атаки что это такое

От DoS до RCE: о неуловимом векторе атак

Привет читателям блога компании DeteAct!

Меня зовут Омар Ганиев, многие меня знают по нику «Beched».

Во время проведения пентестов и анализа защищённости мы иногда обнаруживаем необычное поведение какой-то системы, которое может приводить к интересным явлениям.

Одной из таких интересных для меня тем являются атаки, которые путём выведения из строя какой-то из частей системы позволяют повысить привилегии, обойти средство защиты и даже исполнить произвольный код.

Давно думаю о том, чтобы систематизировать такие атаки, а пока расскажу про 3 конкретных атаки из практики пентеста.

DoS to RCE или 0-day в WordPress

В далёком 2017 году во время CTF-соревнования в Японии мы с сокомандниками из LC↯BC сидели в лобби отеля посреди ночи и решали задачки.

Пытаясь решить одну из них, я заметил интересное поведение WordPress: при многопоточных попытках подобрать пароль (/wp-login) сервер через некоторое время начинал отдавать неполные ответы, а спустя несколько десятков запросов возвращал ответ 302 и перенаправлял на страницу установки блога (/wp-admin/install.php).

В ту ночь это поведение осталось загадкой, но позже удалось разобраться, что тот сайт был размещён на shared хостинге, и там существовало ограничение на количество запросов к MySQL (MAX_QUERIES_PER_HOUR).

Получалось, что перебирая пароль, мы истощали этот ресурс, и база данных сайта переставала работать, но при этом в пограничный момент возникало состояние гонки: приложение успевало подцепиться к базе и вытащить часть ресурсов, но потом получало ошибку.

Более того, WordPress проверяет статус установки блога путём запрашивания некоторых таблиц из базы, так что получалось, будто блог не установлен. Проверочных запросов несколько десятков, и все они должны вернуть ошибку, чтобы функция is_blog_installed вернула false.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такоеУязвимый исходный код функции is_blog_installed

Отсюда возникает идея для атаки: что если звёзды так совпадут, что мы сможем вывести базу из строя ровно на то время, пока выполняется функция is_blog_installed, а потом сразу вернём её к жизни?

В таком случае мы сможем перейти к процедуре установки блога, а там одним из первых действий является добавление нового административного пользователя в базу.

Таким образом, DoS-атака может привести к повышению привилегий, а затем к исполнению произвольного кода (RCE ) из админки!

Суть уязвимости в том, что в коде WordPress не было проверки, какую именно ошибку вернул сервер MySQL, поэтому считалось, что таблицы не существует, даже если в ответ на DESCRIBE попросту не пришёл ответ, или в ответе была ошибка про превышение лимита запросов.

Схематично основные шаги атаки можно изобразить так:

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такоеСхема получения контроля над WordPress через DoS

Сценарий атаки ужасно сложный и весьма интересный: не очень понятно, как можно классифицировать такой недостаток.

Я хотел написать PoC-эксплойт, но ограничился ручной проверкой возможности такой атаки в синтетических лабораторных условиях. В итоге, отложив исследование в долгий ящик, вернулся к нему только в 2019 году и решил отрепортить в WordPress: уязвимость была исправлена только через год и получила номер CVE-2020-28037.

DoS to Bypass или как обойти WAF

Помимо анализа защищённости, мы иногда проводим DDoS-тестирование приложений. Зачастую приложения защищены фаерволами, что создаёт интересные эффекты.

В ходе DDoS-тестов мы не раз сталкивались с тем, что под высокой нагрузкой фаервол падает раньше сайта.

К чему это приводит?

Если инфраструктура сконфгурирована так, что фаервол стоит «в разрыв», то тогда ложится вся система.

Если же фаервол стоит «сбоку», то сайт продолжает быть доступен, но при этом фаервол больше не работает! А значит, атакующие могут свободно искать и эксплуатировать уязвимости в приложении без блокировок со стороны WAF.

О каких нагрузках идёт речь? На практике всё очень сильно зависит от конфигурации, но даже простейший HTTP-флуд может повалить топовый WAF при скорости атаки около 300 Мбит/сек.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такоеЛог чекера WAF в ходе DDoS-атаки

Конечно, наиболее уязвимы «коробочные» решения, у которых физически нет возможностей для масштабирования, и они ограничены мощностью одного устройства.

DoS to Admin или как обойти авторизацию

Уязвимости, связанные с DoS, часто всплывают самым неожиданным образом.

Так, в ходе тестирования одного приложения, мы получили от заказчика Swagger-описание API. Для начала мы провели стресс-тест и при помощи скрипта отправили все примеры запросов оттуда через Burp Suite.

Просматривая историю запросов в Burp мы заметили аномалию: один из запросов в административный интерфейс вернул ответ 200 OK.

При попытке повторить его мы получали ответ 401 Not Authorized, как и ожидалось. В какой-то момент мы поняли, что аномалия могла быть связана с нагрузкой, и решили попробовать ещё раз.

Отправив тот же запрос много раз в цикле, мы вдруг начали получать хороший ответ!

На скриншоте видно, что после 140 запросов сервер «сдался» и впустил нас в админку, как в анекдотах про китайских хакеров и пароль «Мао Цзэдун».

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такоеОбход авторизации через DoS

Интересно, что в ответе видно заголовок «DoSFilter: delayed»: это признак использования сервлета DoSFilter в сервере Jetty.

Как можно предположить, и как подтвердилось в ходе общения с заказчиком, для авторизации в API использовался отдельный сервис

Иронично, но под атакой этот сервис переставал работать из-за механизма отказоустойчивости, при этом приложение интерпретировало такой ответ как успешную авторизацию.

DoS to Anything

Отказ в обслуживании какой-то части системы может привести к самым разным неожиданным последствиям.

Для того, чтобы предусмотреть их, нужно проводить не только шаблонный пентест по чеклистам, но и более глубоко разбираться в архитектуре сервиса и придумывать нестандартные атаки.

Источник

Начальные векторы атаки

Как чаще всего злоумышленники попадают в инфраструктуру атакуемых компаний.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

Нашим экспертам часто приходится оказывать компаниям экстренную помощь: их вызывают для реагирования на инциденты, они помогают проводить (или полностью берут на себя) расследования или анализируют инструменты злоумышленников. По итогам работы в 2020 году эксперты собрали множество данных, позволяющих посмотреть на современный ландшафт угроз, спрогнозировать наиболее вероятные сценарии атак и выбрать адекватные защитные тактики. В числе прочего они проанализировали и самые распространенные начальные векторы проникновения злоумышленников в корпоративные сети.

При изучении киберинцидента начальному вектору атаки всегда уделяется особое внимание: чтобы избежать повторения инцидента, важно выявить слабое место в защитных системах. К сожалению, сделать это удается не всегда. В некоторых случаях это невозможно из-за времени, прошедшего между инцидентом и его обнаружением, а иногда жертва просто не хранит логи, плюс следы часто уничтожаются (как случайно, так и намеренно). Кроме того, в последнее время злоумышленники все чаще атакуют через цепочку поставок, так что начальный вектор в принципе следует искать не у конечной жертвы, а у какого-нибудь разработчика сторонней программы или поставщика сервиса. Однако более чем в половине инцидентов начальный вектор атаки удалось определить достаточно точно.

Первое и второе места: брутфорс и эксплуатация публично-доступных приложений

Первое и второе места делят два вектора атаки — брутфорс (то есть перебор паролей) и эксплуатация уязвимостей в приложениях и системах, доступных вне периметра компании. Каждый из них становился начальным вектором проникновения в 31,58% случаев.

Как и в прошлые годы, эксплуатация уязвимостей продолжает оставаться наиболее эффективным методом начала атаки. А более детальный анализ используемых уязвимостей позволяет говорить о том, что это прежде всего связано с несвоевременной установкой обновлений, так как на момент атаки все используемые уязвимости имели соответствующие исправления, и их установка позволила бы избежать последствий этих атак.

Всплеск популярности атак с применением брутфорса можно объяснить массовым переходом компаний на удаленную работу и использованием сервисов удаленного доступа. Но при этом многие организации не уделили вопросам безопасности должного внимания. В связи с этим количество атак на механизмы таких подключений мгновенно выросло. Например, с марта по декабрь 2020 года количество брутфорс-атак на протокол RDP увеличилось на 242%.

Третье место: вредоносная почта

В 23,68% случаев начальным вектором атаки стали вредоносные письма: как рассылки, непосредственно содержащие зловреды, так и фишинговые послания. Оба метода давно используются и операторами целевых атак, и авторами массовых рассылок.

Четвертое место: компрометация сторонних веб-сайтов (drive-by compromise)

Иногда злоумышленники пытаются получить доступ к системе, используя сторонний веб-сайт, на который жертва заходит периодически или попадает случайно. Сайт снабжается скриптами, которые используют какую-либо уязвимость в браузере пользователя, чтобы выполнить вредоносный код на его машине, или же через него злоумышленники обманом заставляют жертву скачать и установить зловред. Такую тактику иногда применяют в достаточно сложных APT-атаках. В 2020 году данная тактика стала начальным вектором атаки в 7,89% случаев.

Пятое и шестое место: переносные накопители и инсайдеры

Зловред, проникающий в системы компании через USB-диск — сейчас редко встречающийся вариант. Вирусы, которые могли случайно заразить флеш-накопитель, практически ушли в прошлое, а сценарий с целевым подбрасыванием вредеоносной флешки не слишком надежен. Тем не менее, такой метод в ответе за 2,63% начальных проникновений в сеть.

Столько же (2,63%) инцидентов произошло из-за действий инсайдеров — сотрудников, которые по тем или иным причинам решили причинить вред собственной компании.

Разумеется, это далеко не вся полезная информация, которую можно найти в отчете наших экспертов. Полный текст «Реагирование на инциденты: аналитический отчет 2021 г.» доступен вот здесь.

Как минимизировать вероятность киберинцидента и его последствия

Согласно выводам наших экспертов, большинства этих инцидентов можно было избежать. По итогам изучения первопричин они рекомендуют:

Кроме того, не стоит забывать о важности правильной настройки систем аудита и логирования, а также применения систем резервного копирования данных — это не только облегчит расследование, но и, возможно, позволит минимизировать ущерб при оперативном реагировании на инцидент.

Источник

Информационная безопасность в АСУ ТП: вектор атаки преобразователи интерфейсов

Размышление

Некоторое время назад я посетил одну конференцию, посвящённую информационной безопасности, там обсуждали вопросы все различной безопасности в различных системах. Я по своей основной специальности не имею прямого отношения к безопасности и у меня возникло много вопросов и мыслей по данной теме, что и послужило началом изучения вопросов ИБ в АСУ.

Выступал там один парень с докладом об ИБ в АСУ ТП, рассказывал о том, что на протяжении длительного времени эволюция систем автоматизации шла параллельным курсом с развитием ИТ систем и что с течением времени для управления системами автоматизации стали применяться системы, построенные на современных ИТ технологиях. И что в настоящее время сопряжение технологической сети с корпоративной сетью необходимо для управления производством так и для администрирования всей системы целиком. Вектор атак с систем ИТ перешел на производственные и промышленные сети. Рассказывал о заводе где-то в германии на который удалось произвести атаку и сорвать технологический процесс в результате чего литейное производство встало и понесло огромные убытки, а литейный цех пришлось разбирать и еще много страшных историй. Ну в общем доклад не произвел нужного(пугающего) впечатления. Присутствующие на данном мероприятии начали задавать вопросы и обсуждать,» мол кому мы нужны маленькие компании с минимальными оборотами денег, что мол есть ли реальные подтверждения инцидентов с атаками на предприятия у нас в России».

Парень не смог привести примеры: либо не был готов, либо не имел право разглашать ту информацию которой он владел. Так к чему этот рассказ?

После данного мероприятия я задумался почему люди так отреагировали на его выступления, ведь он хорошо оперировал терминами и международной статистикой по атакам на объекты, но люди посчитали что эти атаки маловероятны и не представляют угрозы для них. Именно это побудило меня заняться исследованием в области информационной безопасности АСУ ТП.

Немного теории

Рассмотрим нетипичное направление атаки на преобразователи интерфейсов, т.к. много информации об атаках на ПК, ПЛК и системы в целом, но мало кто задумывался что почти на каждом производстве имеются все различные системы устройств, датчиков, приборов и есть проблема совместимости различных видов устройств. Существует огромное разнообразие устройств различного вида и назначения, большое количество компаний, занимающихся их производством, разные стандарты, большей частью не совместимые между собой. Выходом из этой ситуации служат преобразователи интерфейсов. Все они применяются для подключения устройств с интерфейсом RS-232/422/485, а это системы сбора данных, регистраторов, контроллеров, датчиков, терминалов и многого другого. Но мало просто соединить порты необходимо установить связь на программном уровне, что является более сложной задачей. Разные стандарты устройств способны передавать данные по различным технологиям. Унифицировать протоколы привести передаваемые данные к единому виду с помощью преобразователей не получиться, но адаптировать вид данных передаваемых между различными частями системы различными протоколами, чтобы они были успешно приняты и расшифрованы элементом, использующий другой протокол возможно.

А те, кто эксплуатирует реальные системы АСУ ТП знают насколько иногда разнообразно оборудование и части этой системы, которые в некоторых случаях работают на производстве уже порядка 10-15 лет и поверх одной системы приходиться иногда ставить другую систему и добиваться ее сращивание, что бы все взаимодействовало между собой. Вот тут преобразователи интерфейсов подходят как никогда. Преобразование пакетов, передаваемых данных происходит на программном уровне. Помимо непосредственно изменения структуры передаваемых данных, программная составляющая преобразователя отвечает за определение типов протоколов, используемых в системе и выбор алгоритма для их согласования.

Преобразователь интерфейсов современное и эффективное средство расширения функциональности информационной системы, незаменимое в условиях отсутствия единого стандарта построения все различных систем передачи данных.

А теперь давайте задумаемся мы используем преобразователи на все образных объектах, подключаем к ним все различные устройства (терминалы защиты, датчики, счетчики) и другие все возможные устройства. Но ведь вся информация от объекта до клиента проходит через них и стоит получить к ним доступ как мы можем узнать очень много информации которая, даст нам направление атаки на конечные устройства или позволит получать, подменять или отправлять информацию от имени этих устройств.

К практике

Мы проведем эксперимент с очень популярными преобразователями тайваньской фирмы MOXA Nport различных версий. Пользоваться будем свободно распространяемым ПО и разрешенными ресурсами на уровни простых пользователей.

Есть в сети такой очень интересный ресурс www.shodan.io позволяет найти устройства в глобальной сети интернет, к которым есть доступ и увидеть где они находятся. Выполним простое сканирование с вводом в поисковой строке Moxa Nport. Смотрим и удивляемся тому, что происходит в мире. Стоит учитывать, что некоторые организации направляют письменный запрет на сканирование их подсети в компанию www.shodan.io.

В общем случаи мы нашли 7260 устройств по запросу Moxa Nport во всем мире. Дальше изучаем как можно попасть на устройства к которым открыт доступ. Замечаем, что в большинстве своем 22, 23, 80, 443 порты открыты и через них можно спокойно подключиться к устройствам.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

В некоторых случаях на устройствах стоят заводские учетные записи по умолчанию, узнать логин и пароль не составляет труда.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

Попадаем на устройство и смотрим все что нужно, убеждаемся, что есть права администратора.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

Можем как просмотреть всю информацию, так и изменить ее.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

И это все может послужить хорошим подспорьем при планировании и организации атак. Чем больше ты знаешь информации об объекте тем больше шансов, что вы сможете её использовать для атаки.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

В наше время не доставит труда даже те устройства которые были запоролины взломать методом перебора, а так как в большинстве своем настройка этих устройств не всегда выполняется специалистами то нет ограничения по количеству попыток ввода пароля, что могло бы очень сильно помочь от перебора.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

Но это только начало, используем стандартные пары ( а таких устройств нашлось не мало и в России, Чехии, Польше, Италии, Австралии, и во многих других странах).

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

Мы получаем не ограниченный доступ к устройству и можем производить анализ как внутренней информации( внутренняя сеть в которой стоит устройство, узнаем диапазон адресов и адрес шлюза) так и провести анализ, что за устройства подключены к преобразователям, анализ количества передаваемой информации и многое другое.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

И смена паролей и перезагрузка, в общем неограниченные права администратора.

Это все мы смогли сделать просто не обладая профессиональными знаниями и нужной специализацией. А теперь капнем чуть глубже, допустим что имеем опыт с этим оборудованием и устройствами, немного разбираемся в ИБ и знаем где искать официально выложенные уязвимости.

Да господа, все известные уязвимости выкладываются в сети на профессиональных, специализированных сайтах. Вы не поверите моему удивлению когда я узнал, что все в открытом доступе, а я ведь не специалист по ИБ.

Проходим на ics-cert.us-cert.gov и в поисковике просто указываем интересующее нас оборудование и имеем официальный список признанных уязвимостей от компании MOXA и этот список разнообразный.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

Гуглем дальше и узнаем о том что эксплуатация уязвимостей позволяет атакующим незаметно выполнить различные действия на устройстве. Оборудование Тайваньской компании MOXA подвержено уязвимостям позволяющим удаленному неавторизованному пользователю получить доступ с правами администратора к устройствам и важной информации хранимой в незашифрованном виде. Так же злоумышленник может осуществить CSRF-атаку. Успешная эксплуатация данных уязвимостей позволяет атакующему незаметно выполнить различные команды, изменить пароль, настройки, и перезагрузить устройство.

Появление проблем является следствием недостаточной защиты систем АСУ ТП в общем. К примеру преобразователи поставляются без установленного пароля или со стандартным заводским паролем и учетной записью (CVE-2016-2286). Как и многие устройства для систем АСУ, что позволяет любому пользователю получить доступ правами администратора к устройству через TCP/80(HTTP) и TCP/23(Telnet). В настоящее время как утверждает производитель нет информации о случаях активной эксплуатации ошибок. И производитель рекомендовал в свое время просто отключать порты TCP/80(HTTP) и TCP/23(Telnet).

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

CVE-2016-0875 Позволяет удаленному пользователю повысить свои привилегии и получить доступ к конфигурационным и лог файлам с помощью специально сформулированного URL.

CVE-2016-087 удаленный атакующий может вызвать отказ в обслуживании путем отправки специально сформулированного запроса.

CVE-2016-0877 связана с PING функцией, а ее эксплуатация может привести к утечкам данных.

CVE-20164500 затрагивает встраиваемые компьютеры uc7408 lx plus позволяет удаленному авторизированному пользователю перепрашивать устройства и вызывать отказ в работе.

CVE-016-8717 эксперты обнаружили в устройствах MOXA жестко закодированные учетные данные которые позволяют войти в недокументированный аккаунт.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое

Исследователи и различные специалисты регулярно находят помимо уязвимостей, багов, и устаревшего ПО, бэкдоры. О безопасности интернет вещей в целом говорят все больше, однако от таких крупных производителей коммуникационного оборудования, как компания MOXA подобного ни кто не ожидал. Ведь проблемы обнаружены в целом ряде случаев, начиная от проблем с аутификацией которая допускает проведение словарных атак, множества XSS багов в веб интерфейсе, DoS- уязвимостями, возможностью инъекции команд.

Для большинства проблем производитель выпустил корректирующие обновления прошивок устраняющие ряд уязвимостей, в других случаях MOXA приняла решения прекратить выпуск некоторых устройств в связи с невозможностью, а иногда и не желанием устранять уязвимости.
Узнав о таких уязвимостях от такого крупного производителя, всем кто использует оборудование данной компании надо бы задуматься об обновлении прошивок, смене паролей, и настроек устройства. Но в практике АСУ ТП все гораздо сложней. На производстве работает оборудование которое вообще ни когда не обновлялось, либо не может быть обновлено в связи с технологией непрерывного производства. И тут вопросов возникает еще больше, но это уже другая история и другой вектор атаки.

Поговорим о результатах исследования: они не утешительны, не обладая специализированными знаниями и ПО нам удалось проникнуть на внушительное количество преобразователей без особого труда и это реальность, не теория. Дальше если предположить, что человек имеет опыт общения с этими устройствами и знает где искать критическую информацию об уязвимостях, то он в большинстве случаев может просто про эксплуатировать уязвимости, потому что большинство оборудования на которое мы побывали проникнуть, имело стандартную прошивку с завода без нужных обновлений и практически в 80% вероятность проникновения будет успешной.

А теперь самое интересное, рассмотрим, что мы имеем дело с группой злоумышленников, которые профессионалы в своей области и для них не составит труда как автоматизировать процесс поиска устройств и подбора паролей так и про эксплуатировать уязвимости. Получив доступ к устройствам они могут использовать как само устройство, так и информацию с него для будущих векторов атак(пере прошить устройства и использовать в бот сети, перехватывать информацию, подменять, и отправлять от имени этого устройства).

Выводы

Разработка автоматизированных систем сбора, обработки данных и управления технологическим процессом требует применения специальных решений построения сетей. Передачи данных АСУ ТП строиться по иерархическому принципу и имеет многоуровневую структуру:

— Нижний уровень- уровень датчиков и исполнительных механизмов
— Средний уровень- уровень промышленных контроллеров
— Верхний уровень- уровень промышленных серверов и сетевого оборудования
— Операторский уровень –уровень оператора и диспетчерских станций

Не будем забывать, что такие не стандартные вектора атак на преобразователи могут послужить остановкой производства и технологического процесса. Из статистики атак на промышленные компьютеры видим что с каждым годом атаки растут и вектор их самый разнообразный.

вектор атаки что это такое. Смотреть фото вектор атаки что это такое. Смотреть картинку вектор атаки что это такое. Картинка про вектор атаки что это такое. Фото вектор атаки что это такое
Процент атакованных промышленных компьютеров по месяцам в России за 2016 год

Мы с вам в данном исследовании убедились, что такие атаки реальны и могут касаться как обычных пользователей, которые используют преобразователи для удаленного подключения, управления и конфигурирования устройств по разным интерфейсам. Так и все различные организации сеть которых очень разнообразна и имеет различное оборудование функционирующее через преобразователи интерфейсов. Я на своем опыте имел дело как с преобразователями moxa для удаленного конфигурирования АТС так и для удаленного управления терминалами различных защит, которые передают и получают информацию из промышленной сети через преобразователи.

Подход производителей промышленного ПО и оборудования к исправлению уязвимостей и ситуацию с устранением известных уязвимостей на предприятиях нельзя назвать обнадеживающим. Подавляющее большинство промышленных предприятий как малых так и больших, годами остаются уязвимы к атакам.Так какие выводы можно сделать: атаки нестандартного направления есть и будут.Защищаться от них надо и знать уязвимости тоже надо ибо информация это сила.Что касается преобразователей использующихся у меня на предприятии? Я проверил все оборудование MOXA, обновил все до последней версии, сменил и увеличил сложность паролей, изучил материалы про уязвимости данной фирмы и последовал рекомендациям экспертов, чтобы минимизировать шансы атакующих, если все таки атака будет иметь место.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *