נחשפה חולשת אבטחה חמורה בבקרי PLC של סימנס שבשימוש נרחב בתעשייה
מאת:
מערכת Telecom News, 31.5.21, 10:29
מדובר ביכולת מאוד מתקדמת, שנחשבת ל"גביע הקדוש" של האקרים, ושהושגה עד עתה רק במקרים בודדים, שאחד מהם הוא Stuxnet. תוקפי סייבר עלולים לנצל אותה כדי להשיג גישה לקריאה וכתיבה בכל מקום ב-PLC ואף להפעיל מרחוק קוד זדוני, שיהיה מאוד קשה לאתר או להסיר.
חוקרים של חברת הסייבר התעשייתי קלארוטי (
Claroty) מתל אביב, שעוסקת בניטור, אבטחה, וניהול נכסי ה-
OT, IoT וה-
IIoT, חשפו חולשת אבטחה חמורה (ציון
CVSS של 8.1) בסדרת הבקרים העדכנית של סימנס
SIMATIC S7 1200/1500, הנמצאים בשימוש נרחב בתעשייה.
חולשה זו מאפשרת לתוקפים להחדיר קוד בצורה סמויה, שאיננה ניתנת לזיהוי, לתוך מערכת ההפעלה של הבקר. מדובר ביכולת מאוד מתקדמת, שנחשבת ל"גביע הקדוש" של האקרים, ושהושגה עד עתה רק במקרים בודדים, שאחד מהם הוא
Stuxnet.
יתרה מכך, החולשה החדשה והיכולת לנצל אותה היו עלולות לאפשר לתוקפים יכולות יותר מתקדמות אפילו מהמקרה של
Stuxnet - כולל היכולת להשתיל על הבקר וירוס/תולעת, שמצד אחד ישבשו פעילות (למשל של צנטריפוגות) ובאותה העת יוציאו למהנדסים דיווחי סרק המציגים חיווי של "סטטוס תקין" כביכול בכל המערכות.
לצוות המחקר של החברה לא ידוע על אף מקרה של ניצול חולשה זו עד כה. בתגובה לזיהוי החולשה, סימנס עדכנה את הקושחה של בקרי ה-
PLC החשופים (
SIMATIC S7-1200/1500) וכעת היא קוראת לכל המשתמשים לעדכן בהקדם את בקרי ה-
PLC שלהם לגרסאות הנוכחיות, ומדווחת להם על כל הפרטים החיוניים בקישור הבא:
SSA-434534.
חשיפת החולשה התאפשרה הודות לקשר הקרוב בין סימנס וקלארוטי, שבנוסף לגילוי חולשות ע"י צוות המחקר של קלארוטי באופן המגביר את חסינות הסייבר של מוצרי סימנס, הוא תורם רבות גם לרמת האבטחה הכוללת של האקוסיסטם התעשייתי. התיאום בין החברות כולל חילופי פרטים טכניים, טכניקות התקפה, ועצות להפחתת סיכונים, שעזרו, בין היתר, בבניית עדכון האבטחה, שסימנס פרסמה בתגובה לחולשה האחרונה.
עדכון 2.6.21, 13:07: מערך הסיבר פרסם הודעה בנושא ופרטים נוספים -
כאן