חורים באבטחה של רכיבי האניוול עלולים לפגוע בתשתיות קריטיות
לפי חוקרי ארמיס, מדובר בתשע חולשות בפלטפורמת Honeywell Experion למערכות DCS ● לדברי קרטיס סימפסון, מנהל האבטחה של ארמיס, הממצא שם בסכנה את תעשיית הנפט והגז והנזק עלול אפילו "להשפיע על חיי אדם"
נחשפו תשע חולשות בפלטפורמה של האניוול (Honeywell). לפי חוקרי ארמיס, שמצאו את החולשות, החורים באבטחה של רכיבי האניוול עלולים לפגוע בתפקוד תשתיות קריטיות.
את החולשות החדשות מצאו חוקרי ארמיס בפלטפורמת Honeywell Experion למערכות DCS, שעלולות היו לאפשר הרצת קוד בלתי-מורשית (unauthorized remote code execution) על גבי השרת והבקרים של האניוול. ניצול חולשות אלו היה מאפשר לתוקפים להשתלט על המכשירים ולשנות את פעולת בקר ה-DCS, תוך הסתרת השינויים מתחנת העבודה ההנדסית שמנהלת את הבקר. ניצול של חולשות אלו לא דורש אימות, אלא רק גישה לרשת של מכשירי היעד – כך שכל מכשיר IT, IoT ו-OT ברשת, עם נגישות להתקני ה-DCS, עלול להוות מקור לתקיפה.
קרטיס סימפסון, מנהל האבטחה של ארמיס, אמר כי "החולשות עלולות ליצור תרחישים גרועים ביותר, שניתן לחשוב עליהם מנקודת מבט עסקית. הן עלולות להביא להשבתה מוחלטת של פעילות הארגון הקורבן ולחוסר זמינות של המערכות שלו. אבל יש תרחישים גרועים מזה, כולל בעיות בטיחות שעלולות להשפיע על חיי אדם".
סימפסון הוסיף כי "האופי של הבאגים נותן לתוקף יכולת להסתיר את השינויים הללו מתחנת העבודה ההנדסית שמנהלת את בקר ה-DCS: תארו לעצמכם מצב בו יש מפעיל עם כל התצוגות השולטות במידע מהמפעל, בסביבה הזו – הכל בסדר. אבל כשזה מגיע למטה, לשטח – הכל בעצם בוער". הוא הסביר כי "זה בעייתי במיוחד עבור תעשיית הנפט והגז".
ממצא שמסכן את פעילותן. תשתיות קריטיות. אילוסטרציה. צילום: אילוסטרציה. BigStock
בין לקוחות האניוול: ענקית האנרגיה של, הפנטגון ונאס"א ואסטרהזניקה
מומחי אבטחה ציינו כי על לקוחות האניוול נמנים ענקית האנרגיה של (Shell), סוכנויות ממשלתיות בארה"ב, ביניהן הפנטגון ונאס"א, וחברת הביו-פרמצבטיקה אסטרהזניקה (AstraZeneca).
במאי 2022 ארמיס חשפה בפני האניוול את הגילוי של 13 תקלות קוד שנמצאו בשרת ובבקרי Experion C300. תקלות אלו התמצו לכדי תשע חולשות חדשות, שבע מהן נחשבות קריטיות. האניוול הנפיקה טלאיי אבטחה עבור הלקוחות שלה שהושפעו מכך, וייעצה להתקין אותם מיידית.
המחקר של ארמיס חשף נקודות תורפה בפרוטוקול CDA – פרוטוקול קנייני שתוכנן על ידי האניוול המשמש לתקשורת בין שרתי Honeywell Experion לבקרי C300. פרוטוקול זה חסר מנגנוני הצפנה ואימות הולמים. כך, כל מי שהייתה לו גישה לרשת יכול היה להתחזות הן לבקר והן לשרת. בנוסף, נמצאו פגמים בתכנון בפרוטוקול ה-CDA המקשים על השליטה בגבולות הנתונים שעלולים היו להוביל ל-Buffer overflow.
עוד עלה כי האניוול מיישמת פרוטוקול תקשורת בשם CDA Data Client Named Access protocol, המאפשר לאפליקציות של פלטפורמת Experion לדבר עם השרת. ביישום של האניוול של פרוטוקול זה אותרו ארבע חולשות המאפשרות הרצת קוד מרחוק (RCE).
עוד התברר כי עקב שימוש חוזר בקוד הפגיע במוצרים אחרים, החולשות משפיעות גם על פלטפורמות LX ו-PlantCruise של האניוול.
תגובות
(0)