Не для кого не секрет, что ПЛК достаточно заманчивая цель для злоумышленников, особенно когда речь идет о нанесении ущерба или нарушении работы предприятия, а также внесения изменений в процессы, которые они контролируют.
Исследователи из Claroty помимо прочего показали, что ПЛК можно использовать еще и в качестве точки входа в организацию, когда хакеры могут использовать их для взлома инженерных рабочих станций, на которых установлено программное обеспечение нескольких крупных компаний по промышленной автоматизации.
В атаке, названной прочего показали, чтозлоумышленник сначала компрометирует ПЛК, который часто может быть незащищен и открыт для доступа в Интернет, а затем обманом заставляет инженера подключиться к нему с рабочей станции инженера, например, вызвав сбой в ПЛК, который, вероятно, будет исследовать инженер.
В ходе этого исследования были обнаружены уязвимости в ПО инженерных рабочих станций от ABB (B&R Automation Studio), Emerson (PAC Machine Edition), GE (ToolBoxST), Ovarro (TwinSoft), Rockwell Automation (Connected Components Workbench), Schneider Electric (EcoStruxure Control), Expert и Xinje (программный инструмент 😆 PLC).
Уязвимостям присвоено уже около десятка идентификаторов CVE и в течение последних полутора лет затронутые поставщики выпускали рекомендации, чтобы проинформировать своих клиентов о недостатках и соответствующих исправлениях и мерах по их устранению.
По мнению экспертов в большинстве случаев уязвимости существуют из-за того, что программное обеспечение полностью доверяет данным, поступающим от ПЛК, без проведения более предметных проверок безопасности.
Недостатки, обнаруженные Claroty, срабатывают, когда инженер инициирует процедуру загрузки. Сюда входит передача метаданных, конфигураций и текстового кода с ПЛК на рабочую станцию.
В случае атаки Evil PLC данные, передаваемые из PLC, обрабатываются таким образом, что вызывают брешь в системе безопасности и запускают вредоносный код на рабочей станции. После взлома рабочей станции злоумышленник может перейти на другие системы в сети.
Исследователи описали несколько различных теоретических сценариев атаки Evil PLC. Они отметили, что метод можно использовать и против самих злоумышленников путем установки приманки - "заряженного" ПЛК с выходом в Интернет и когда злоумышленник попытается подключиться со своего компьютера его устройство будет скомпрометировано.
Но этот метод можно использовать для обнаружения атак только на ранней стадии, так как он помогает удерживать злоумышленников от атак на ПЛК, поскольку им самим будет необходимо обезопасить себя от цели, которую они планировали атаковать.
Исследователи из Claroty помимо прочего показали, что ПЛК можно использовать еще и в качестве точки входа в организацию, когда хакеры могут использовать их для взлома инженерных рабочих станций, на которых установлено программное обеспечение нескольких крупных компаний по промышленной автоматизации.
В атаке, названной прочего показали, чтозлоумышленник сначала компрометирует ПЛК, который часто может быть незащищен и открыт для доступа в Интернет, а затем обманом заставляет инженера подключиться к нему с рабочей станции инженера, например, вызвав сбой в ПЛК, который, вероятно, будет исследовать инженер.
В ходе этого исследования были обнаружены уязвимости в ПО инженерных рабочих станций от ABB (B&R Automation Studio), Emerson (PAC Machine Edition), GE (ToolBoxST), Ovarro (TwinSoft), Rockwell Automation (Connected Components Workbench), Schneider Electric (EcoStruxure Control), Expert и Xinje (программный инструмент 😆 PLC).
Уязвимостям присвоено уже около десятка идентификаторов CVE и в течение последних полутора лет затронутые поставщики выпускали рекомендации, чтобы проинформировать своих клиентов о недостатках и соответствующих исправлениях и мерах по их устранению.
По мнению экспертов в большинстве случаев уязвимости существуют из-за того, что программное обеспечение полностью доверяет данным, поступающим от ПЛК, без проведения более предметных проверок безопасности.
Недостатки, обнаруженные Claroty, срабатывают, когда инженер инициирует процедуру загрузки. Сюда входит передача метаданных, конфигураций и текстового кода с ПЛК на рабочую станцию.
В случае атаки Evil PLC данные, передаваемые из PLC, обрабатываются таким образом, что вызывают брешь в системе безопасности и запускают вредоносный код на рабочей станции. После взлома рабочей станции злоумышленник может перейти на другие системы в сети.
Исследователи описали несколько различных теоретических сценариев атаки Evil PLC. Они отметили, что метод можно использовать и против самих злоумышленников путем установки приманки - "заряженного" ПЛК с выходом в Интернет и когда злоумышленник попытается подключиться со своего компьютера его устройство будет скомпрометировано.
Но этот метод можно использовать для обнаружения атак только на ранней стадии, так как он помогает удерживать злоумышленников от атак на ПЛК, поскольку им самим будет необходимо обезопасить себя от цели, которую они планировали атаковать.