يحذر باحثو الأمن من نقاط الضعف المنتشرة في بوابات البروتوكول، والأجهزة الصغيرة التي تربط الآلات الصناعية وأجهزة الاستشعار بشبكات TCP / IP التي تُستخدم لأتمتتها والتحكم فيها.
بحث جديد نشرته Trend Micro هذا الأسبوع وتم تقديمه في مؤتمر الأمن الافتراضي Black Hat USA يسلط الضوء على تهديد جديد عبر هجمات ترجمة البروتوكول ويكشف عن 9 عيوب موجودة في بوابات البروتوكول من بائعين مختلفين.
يمكن لنقاط الضعف التي تم تحديدها تمكين سيناريوهات هجوم مختلفة ، من إصدار أوامر خفية يمكن أن تخرب العملية التشغيلية إلى الحصول على وصول غير مصرح به ، وفك تشفير قواعد بيانات التكوين ، وكشف المعلومات الحساسة وتعطل المعدات المهمة.
ما هي بوابات البروتوكول؟
تتكون التركيبات الصناعية من العديد من الآلات والمحركات وأجهزة الاستشعار وأجهزة التحكم المرتبطة ببعضها البعض. يمكن أن تتمتع هذه المكونات بعمر افتراضي طويل جدًا ، وقد تم تصميم العديد منها في وقت تم فيه فصل شبكات التكنولوجيا التشغيلية (OT) تمامًا عن شبكات تكنولوجيا المعلومات والاتصال عبر الكابلات التسلسلية ، باستخدام بروتوكولات خاصة أو متخصصة مثل Modbus ، والتي يعود تاريخها إلى عام 1979.
في العصر الحديث ، مع تقدم الصناعة 4.0 ، أصبحت الشبكات التشغيلية وتكنولوجيا المعلومات مترابطة لأغراض الإدارة والأتمتة والتحكم عن بُعد. محطات العمل الهندسية والواجهات بين الإنسان والآلة (HMIs) التي تُستخدم لمراقبة العمليات الصناعية والتحكم فيها هي بشكل عام أصول لتكنولوجيا المعلومات والتحدث عبر TCP / IP. من أجل ربط أصول OT مثل وحدات التحكم المنطقية القابلة للبرمجة (PLC) بشبكات Ethernet و Wi-Fi وشبكات الهاتف المحمول ، تستخدم الصناعة الأجهزة المعروفة باسم بوابات البروتوكول أو مترجمي البروتوكول الذين يتلقون الحزم المغلفة عبر بروتوكول واحد ويترجمونها إلى بروتوكول مختلف أو بين الطبقات المادية المختلفة لنفس البروتوكول ، على سبيل المثال Modbus TCP (Ethernet) إلى Modbus RTU (المسلسل).
قال باحثو تريند مايكرو في تقريرهم: “إذا فشلت بوابات البروتوكول ، فسيتوقف الاتصال بين أنظمة التحكم والآلات”. “يفقد المشغلون الرؤية على النظام ، مما يجعلهم غير قادرين على معرفة ما إذا كانت الآلات أو المولدات تعمل بشكل صحيح. يمكن أن يؤدي فشل الترجمة أيضًا إلى منع المشغل من إصدار أوامر لاستكشاف المشكلات وإصلاحها.”
ركز باحثو Trend Micro في أبحاثهم على البوابات التي تترجم بين الإصدارات المختلفة من Modbus ، لأن Modbus هو أحد البروتوكولات الأكثر استخدامًا على شبكات OT. تم ترك بوابات البروتوكول التي تترجم بين بروتوكولات مختلفة تمامًا كهدف للبحث في المستقبل. الأجهزة التي تم فحصها هي Nexcom NIO50 و Schneider Link 150 و Digi One IA و Red Lion DA10D و Moxa MGate 5105-MB-EIP.
فقدت في الترجمة
قال الباحثون في تقريرهم: “لقد تعمقنا في تنفيذ عملية ترجمة البروتوكول وبحثنا في الظروف التي قد تؤدي فيها البوابات إلى حدوث أخطاء لها تأثير على الجهاز الذي يتصلون به ، مثل PLC المتصل بالواجهة التسلسلية”. ورقة. “هذا يعادل اختبار ما إذا كان مترجم اللغة يمكنه ترجمة الجمل بشكل صحيح مع أزمنة غير متطابقة ، وأخطاء اتفاق الموضوع والفعل ، وعلامات الترقيم في غير محلها أو المفقودة. سيصحح المترجم الموثوق به الجملة إذا كان السياق واضحًا بدرجة كافية أو يرفض الترجمة إذا الرسالة غير واضحة في شكلها الحالي “.
من أجل اختبار كيفية تعامل بوابات البروتوكول مع الحزم المشوهة ، استخدم الباحثون مصهرًا أرسل 5078 حزمة غير صالحة من Modbus TCP و 1،659 حزمة Modbus RTU غير صالحة. يحدد بروتوكولات Modbus TCP و Modbus RTU أطوال حزم مختلفة ، لذلك في ظل الظروف العادية ، يجب أن تسقط البوابة الحزم المشوهة.
خلال اختباراتهم ، لاحظ الباحثون أن NIO50 لم يقم بتصفية حزم Modbus TCP ذات الطول غير الصحيح وبدلاً من ذلك كان يعيد توجيهها إلى Modbus RTU. أعطاهم ذلك فكرة التحقق مما إذا كان من الممكن صياغة حزمة Modbus TCP والتي ستكون غير صالحة وفقًا للمواصفات ولكنها ستصبح صالحة إذا تم إعادة توجيهها بشكل أعمى بواسطة البوابة كحزمة Modbus RTU. في الواقع ، وجدوا طرقًا مختلفة يمكنهم من خلالها صياغة حزمة Modbus TCP مع أوامر القراءة التي قد تبدو غير ضارة لأي جدار حماية ICS يقف بين البوابة والمرسل ، ولكن عند الوصول إلى بوابة NIO50 ، سيتم إعادة توجيهها على أنها Modbus RTU ولديها معنى مختلف تمامًا عن PLC خلفه. اشتمل إعداد الاختبار على PLC يتحكم في محرك ، ومقياس حرارة ، ومقياس سرعة الدوران.
وقال الباحثون “بأمر واحد ، يمكن للمهاجم تعطيل أجهزة الاستشعار الحرجة لمراقبة أداء وسلامة المحرك (درجة الحرارة ومقياس سرعة الدوران) ، مع الحفاظ على تشغيل المحرك”. “إذا لم يلاحظه المهندسون والمشغلون الميدانيون ، فقد يكون المحرك قد تجاوز بالفعل ظروف التشغيل الآمنة ، ومع ذلك ، فلن يكون مرئيًا أو يطلق أي إنذارات لأن المستشعرات (مقياس الحرارة ومقياس سرعة الدوران) قد تم تعطيلهما.”
NIO50 عبارة عن بوابة في الوقت الفعلي يتم فيها ترجمة الحزم فور وصولها. ومع ذلك ، تعمل بعض البوابات بشكل غير متزامن وتحفظ الحزم من نفس النوع أو بنفس الوجهة ليتم إرسالها معًا لأسباب تتعلق بالأداء. تُعرف هذه أيضًا باسم محطات البيانات وتستخدم جدول تعيين الإدخال / الإخراج الذي يمكن للمستخدم تكوينه. يقع Red Lion DA10D و Moxa MGate 5105-MB-EIP ضمن هذه الفئة.
“يمكن أن تكون جداول تعيين الإدخال / الإخراج مصدرًا مهمًا للمعلومات أثناء تطوير الهجوم و
قال الباحثون إن مرحلة الضبط وقد توفر الجزء الأساسي من المعلومات التي يبحث عنها المهاجم لإسقاط المنشأة. “بالإضافة إلى ذلك ، فإن أي تعديل غير مصرح به لجدول رسم خرائط الإدخال / الإخراج سوف يعبث بتشغيل HMI و PLCs ، والأجهزة المتصلة بمحطة البيانات “.
عادة ما يكون لمحطات البيانات آليات لحماية هذه المعلومات ، لكن باحثي Trend Micro وجدوا العديد من نقاط الضعف التي تسمح لهم بالوصول إلى قاعدة البيانات أو فك تشفيرها. على وجه التحديد ، كان جهاز Moxa MGate يعاني من ثغرة سمحت بالكشف عن المعلومات من خلال أوامر الملكية ، وخلل في إعادة استخدام بيانات الاعتماد من خلال أوامر الملكية ومشكلة غلاف جذر ما بعد المصادقة والتي من شأنها أن تمنح المهاجمين سيطرة مستمرة وكبيرة على الجهاز. كان لجهاز Red Lion مشكلة تعسفية في تسريب الذاكرة وشرط رفض خدمة Modbus.
في الواقع ، وجد الباحثون أن جميع منتجات البوابة في الوقت الفعلي التي تم اختبارها كانت عرضة لرفض الخدمة عند مواجهة تدفق الحزم بفواصل زمنية 0.5 ثانية. ظلت الأجهزة قيد التشغيل ولكنها عانت من استنفاد الموارد مما أثر على عملية الترجمة. بشكل منفصل ، كانت محطة Red Lion DA10D عرضة لإعادة التشغيل القسري عبر حزم Modbus TCP المصممة خصيصًا. وجد الباحثون أيضًا مصادقة ونقاط ضعف أخرى في واجهات التحكم المستندة إلى مجموعة النظراء لمنتجات NIO50 و DA10D.
تم الإبلاغ عن العيوب التي تم تحديدها أثناء البحث للبائعين المتضررين. تم إصلاح بعضها ، لكن بعضها لا يزال مفتوحًا أو لن يتم إصلاحه لأن المنتج وصل إلى نهاية العمر الافتراضي. هذا هو الحال بالنسبة لجميع العيوب التي تؤثر على بوابة NIO50 ، على سبيل المثال.
قال ماركو بالدوزي ، كبير الباحثين في تريند مايكرو ، خلال عرضه التقديمي “بلاك هات”: “لقد أجرينا هذا البحث من أجل زيادة الوعي”. “من الواضح أن هذه الأجهزة لا ينبغي أن تتعرض للإنترنت ، لكنها غالبًا ما تتعرض لشبكة التحكم وإذا تم اختراق أي جهاز على شبكة التحكم ، فيمكن عندئذٍ مهاجمة هذه البوابات. والمشكلة في ذلك أنها من الصعب تصحيح مثل هذه الهجمات ، لأن هذه الأجهزة غالبًا لا تحتوي على سجلات ولا تظهر أي مشاكل ماديًا.الجهاز يرتكب خطأً في الترجمة وينقل هذا الخطأ إلى PLC ومن الصعب حقًا تصحيح مثل هذه الأشياء. ”
حقوق النشر © 2020 IDG Communications، Inc.