נחשפה חולשת אבטחה חמורה בתוכנה הנמצאת בשימוש נרחב בתעשייה ובמתקני תשתיות קריטיות
מאת:
מערכת Telecom News, 1.3.21, 15:03
מדובר בחולשה חמורה (ציון CVSS מקסימלי של 10.0) בתוכנה של רוקוול אוטומציה, שמשפיעה על מנגנון האימות בין בקרי PLC של Rockwell לתחנות ההנדסה שלהם, ועלולה לחשוף מפעלים ומתקני תשתית לפריצה מרחוק, גניבת מידע והשבתת תהליכים.
חוקרים של חברת הסייבר התעשייתי קלארוטי (
Claroty) מתל אביב, חשפו חולשת אבטחה חמורה במנגנון אימות התקשורת בין בקרי
PLC של חברת
Rockwell Automation לבין תחנות ההנדסה שלהם.
חולשה זו, שמשפיעה על סוגים רבים של בקרי
Logix, עלולה לאפשר אפילו לתוקף בעל רמת מיומנות נמוכה, לעקוף את דרישת האימות ולהתחבר מרחוק כמעט לכל אחד מבקרי ה-
Logix של רוקוול. החולשה זכתה לציון
CVSS 10.0, הגבוה ביותר האפשרי.
החוקרים בצוות קלארוטי,
שרון בריזינוב (משמאל בתמונה למעלה) ו
טל קרן (מימין בתמונה למעלה), שהובילו את המחקר, מסבירים, שחולשת האבטחה נעוצה בעובדה, שתוכנת
Studio 5000 Logix Designer של רוקוול אוטומציה עלולה לאפשר את חשיפתו של מפתח הצפנה חסוי המשמש לאימות התקשורת בין בקרי
Logix לתחנות ההנדסה שלהם.
ניצול החולשה עלול לאפשר לתוקף לעקוף מרחוק את מנגנון האימות ולהתחבר מרחוק ישירות לבקרי
Logix, שחלקם נמצאים בליבת תהליכי ייצור קריטיים.
לאחר מכן התוקף יכול "לחקות" תחנת הנדסה לגיטימית ולפגוע במגוון דרכים בארגון, כמו, למשל, להעלות קוד זדוני לבקר, להוריד ממנו מידע, או להתקין קושחה חדשה ולשנות לחלוטין את ההגדרות שלו.
תרחישים אלה עלולים לפגוע במגוון רחב של תהליכי ייצור המשתמשים בבקרי
PLC, לרבות תהליכים המשלבים מנועים, משאבות, אורות, מאווררים, מפסקים וציוד מכני נוסף.
כדי לפתור את חולשת האבטחה החמורה, קלארוטי דיווחה עליה לחברת רוקוול אוטומציה, שהמליצה ללקוחותיה לבצע מספר צעדים כדי להקטין את הסיכון לפגיעה בבקרים ובתהליכי ייצור:
ראשית, רוקוול ממליצה ללקוחותיה להשאיר את מתג ההפעלה של הבקרים על מצב
"Run" וכן להשתמש בהגדרות
CIP Security לתקשורת בין תוכנת
Logix Designer לבקרים כדי למנוע קשרים בלתי מורשים.
רוקוול ממליצה על מספר צעדים נוספים להקטנת החשיפה לחולשת האבטחה, החל בסגמנטציית רשת ובקרות אבטחה ראויות כגון צמצום מרבי של המערכות החשופות לרשת האינטרנט. מערכות שליטה ובקרה צריכות לקבל הגנה של פיירוול ולהיות מבודדות מרשתות חיצוניות ככול שניתן, ומומלץ להשתמש בפתרון מקצועי לאבטחת גישה מרחוק, או לכל הפחות
VPN.
קרדיט צילום תמונה עליונה: אמיר פרמינגר
פרטים נוספים ודרכי התמודדות מפורטים מצויים באתר מערך הסייבר הלאומי - כאן.