MMS: тикающая бомба в самом сердце промышленности

MMS: тикающая бомба в самом сердце промышленности

Как устаревшие протоколы ставят под удар заводы и фабрики.

image

Исследователи из компании Claroty обнаружили несколько уязвимостей в реализации протокола Manufacturing Message Specification (MMS), которые могут представлять серьёзную угрозу для промышленных систем. Уязвимости позволяют злоумышленникам вывести устройства из строя или выполнить удалённый код.

MMS — это протокол прикладного уровня модели OSI, обеспечивающий удалённое управление и мониторинг промышленных устройств. Протокол используется для обмена информацией между интеллектуальными электронными устройствами (IED) и системами управления SCADA или программируемыми логическими контроллерами (PLC).

Claroty выявила пять уязвимостей, влияющих на библиотеки MZ Automation и Triangle MicroWorks, поддерживающие протокол MMS. Эти уязвимости получили высокие оценки по шкале CVSS и уже были исправлены производителями.

  • CVE-2022-2970 (оценка 10.0) — уязвимость переполнения буфера в libIEC61850, позволяющая выполнить удалённый код или вызвать сбой системы;
  • CVE-2022-2971 (оценка 8.6) — уязвимость путаницы типов, позволяющая злоумышленнику вызвать сбой сервера с помощью вредоносного пакета;
  • CVE-2022-2972 (оценка 10.0) — ещё одна уязвимость переполнения буфера, которая может привести к выполнению кода или сбою;
  • CVE-2022-2973 (оценка 8.6) — ошибка разыменования нулевого указателя, вызывающая сбой сервера;
  • CVE-2022-38138 (оценка 7.5) — использование неинициализированного указателя, приводящее к атаке типа отказ в обслуживании (DoS).

Также выяснилось, что устройства Siemens SIPROTEC 5 использовали устаревшую версию стека протокола, что делало их уязвимыми к DoS-атаке. Siemens выпустила обновление прошивки, исправляющее эту ошибку.

Примечательно, что все вышеуказанные уязвимости были выявлены и исправлены ещё в 2022 году, однако информация о них была обнародована лишь спустя два года, чтобы как можно больше промышленных систем успели обновиться.

Кибератаки в данной отрасли могут нанести значительный ущерб, так как критически важные инфраструктуры, такие как заводы, электростанции и транспортные системы, как правило, придерживаются принципа «работает — не трогай» и редко обновляют программное обеспечение. Любая ошибка в свежем коде может привести к приостановке работы, поэтому рисковать лишний раз никто не хочет.

Публикация сведений о таких уязвимостях сразу после их обнаружения могла бы дать злоумышленникам время для подготовки атак на ещё не обновлённые системы. Поэтому эксперты из Claroty предпочли придерживаться принципа ответственного раскрытия, давая возможность владельцам уязвимых систем провести все необходимые обновления и повысить уровень защиты до того, как информация попадёт в публичное пространство.

Claroty подчеркнула, что выявленные уязвимости ярко демонстрируют существенный разрыв между современными требованиями к безопасности и использованием устаревших промышленных протоколов, которые всё ещё находятся в эксплуатации. Многие системы, особенно в критически важных отраслях, до сих пор опираются на старые технологии, внедрённые десятилетия назад.

Эти протоколы были разработаны без учёта современных киберугроз, и их замена часто оказывается сложной и ресурсозатратной задачей. Проблема усугубляется тем, что обновление таких систем может привести к простою производства, что создаёт дополнительные риски для бизнеса.

В связи с этим Claroty настоятельно рекомендует производителям оборудования и владельцам инфраструктуры обращать особое внимание на рекомендации, разработанные Агентством по кибербезопасности и безопасности инфраструктуры США (CISA). Следование этим инструкциям поможет не только устранить существующие уязвимости, но и повысить общую устойчивость промышленных систем к потенциальным атакам в будущем.

Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь