נחשפו חולשות אבטחה חמורות במערכת הבקרה של האניוול

שלוש חולשות אבטחה חמורות במערכת הבקרה התעשייתית של האניוול האמריקנית, Experion PKS (ר"ת Process Knowledge System), נחשפו באחרונה על ידי חוקרי Team82 של חברת הסייבר התעשייתי קלארוטי מתל אביב.

החולשות החמורות – שזכו לציון CVSS המרבי, 10 – עלולות לאפשר לתוקף לשנות ספריית רכיבי בקרה (CCL) ולטעון אותה לבקר באופן שיגרום לו להריץ נוזקה. התוקף גם עלול לנצל את החולשות כדי להריץ קוד מקור במערכת, לשנות ערכי תהליך או לשבש תהליכים קריטיים, וכן לבצע מתקפות מניעת שירות (DoS). החולשות משפיעות על כל הבקרים והסימולטורים מהסדרות C200 ,C200E ,C300 ו-ACE של האניוול.

את המחקר הובילו חוקר האבטחה רעי הניגמן ונדב ארז, מנהל החדשנות של Team82 – קבוצת מחקרי הסייבר של קלארוטי. השניים ציינו שספריית CCL היא ספריה שנטענת לבקר כדי לבצע פונקציות ספציפיות. "אפשר לחשוב על ספריות CCL כהרחבות, שמאפשרות למפתחים להשתמש ביכולות ספציפיות, בעזרת פונקציות חיצוניות שלא נתמכות על ידי הספרייה הרגילה. בעת עיבוד קבצי CCL לא מתבצע אימות אבטחה, כגון בדיקת חתימות או בדיקה של שמות הספריות. כתוצאה מכך, תוקף עלול לתקוף את הבקרים ולהעלות אליהם קבצים זדוניים", אמרו.

עוד מצאו החוקרים שבמקרים מסוימים, קבצי CCL שנשלחים למכשירי קצה מתחילים לרוץ באופן מידי, בלי שבוצעה כל בדיקת אבטחה. הפרוטוקול לא דורש אימות כלשהו, שיוכל למנוע ממשתמשים בלתי מורשים לבצע פעולות הורדה. כתוצאה מכך, כל תוקף יכול להשתמש בפונקציונליות ההורדה של הספרייה כדי להריץ מרחוק קוד ללא אימות.

קלארוטי דיווחה להאניוול על חולשות האבטחה החמורות, וזו הגיבה במהירות והנפיקה כמה עדכונים וטלאי אבטחה הזמינים לכל הגרסאות הרלוונטיות של Experion PKS. החברה הוסיפה חתימה קריפטוגרפית לספריות רכיבי בקרה, ופיתחה עדכוני תוכנה לשרתים ותיקונים מתבקשים עבור קושחת הבקר. האניוול אף הנחתה את לקוחותיה כיצד עליהם לפעול לצמצום הסיכון הנשקף מחולשות האבטחה החדשות.