Сетевые DoS-атаки на ПЛК могут привести к сбою физических процессов

Совместная команда исследователей из Университета Аугсбурга и Свободного университета Берлина (Германия) продемонстрировала интересный вид DoS-атаки на программируемые логические контроллеры (ПЛК), позволяющий нарушить физические процессы, контролируемые устройством.

Данная проблема получила идентификатор CVE-2019-10953, а ее уровень опасности оценивается в 7,5 балла по шкале CVSS v3. В отличие от IT-систем в промышленной среде именно уязвимости отказа в обслуживании представляют большую угрозу.

Атака направлена на время цикла ПЛК. Рабочий цикл контроллера включает несколько фаз: начало цикла, чтение состояния входов (датчиков), выполнение кода программы пользователя, выполнение задач по диагностике и коммуникации, запись состояния выходов. Как правило, цикл занимает от 1 до 10 мс.

Исследователи продемонстрировали, как специально сформированный сетевой трафик, направленный на ПЛК, может повлиять на время цикла, что приведет к сбою контролируемых устройством физических процессов. По их словам, атака может быть осуществлена либо из интернета (если целевое устройство подключено к Сети), либо со скомпрометированного устройства в той же сети, что и ПЛК. При этом атакующему не нужно знать, какие процессы контролирует ПЛК или какая программа на нем работает.

Атака была протестирована на 16 устройствах от 6 различных производителей, в частности, ABB, Phoenix Contact, Schneider Electric, Siemens и WAGO. По мере возможности она производилась на ПЛК с установленными по умолчанию настройками.

«ПЛК реагировали по-разному: одни полностью перестали обновлять состояние входов, работа других существенно замедлилась», — отметили специалисты.

Только одно из протестированных устройств оказалось не подвержено атаке данного типа. Стоит отметить, что патчи, устраняющие данную уязвимость, выпустил только 1 вендор из шести. В частности, компания Schneider Electric выпустила соответствующие обновления для решений Modicon M221 и EcoStruxure Machine Expert. В ABB заявили, что атака затрагивает только устройства с установленными по умолчанию настройками. По словам представителей Phoenix Contact, проблема касается только устаревших устройств и не затрагивает новые версии продуктов. Как сообщили в Siemens, ее продукты уязвимости не подвержены, а в WAGO заявили, что проблема довольно старая и порекомендовали предпринять меры против ее эксплуатации, в частности, использовать ПЛК в закрытых сетях либо защитить их межсетевым экраном, а также установить ограничение сетевого трафика.

Источник: Securitylab