هشدار McAfee نسبت به امنیت سیستم‌های ICS

سهولت استفاده از سیستم‌های صنعتی متصل‌به‌هم، می‌تواند آنها را به یک نقطه شکست در برابر حملات سایبری تبدیل کند و به راحتی تحت کنترل دشمن درآورد. به‌عنوان‌مثال، هکری که چنین سیستمی را هدف قرار می‌دهد، می‌تواند سیستم گرمایشی یا خنک‌کننده یک HVAC را در طی یک رویداد از بین ببرد یا به صورت دیگر، سوءاستفاده امنیتی ICS می‌تواند باعث افزایش دما در یک مرکز تولید یا یک مرکز داده شود. سیستم‌های روشنایی و کنترل دسترسی به شبکه نیز از این خطر مصون نخواهند بود. ازآنجاکه enteliBUS و سایر محصولات مشابه آن کنترل‌کننده‌های قابل‌برنامه‌ریزی BACnet هستند، می‌توانند در هرگونه سیستم‌های اقتصادی یا صنعتی موجود در یک ساختمان به کاربرده شوند. طبق آخرین اخباری که از McAfee منتشر شده، سیستم‌های BACnet برای کنترل اتاق فشار مثبت در بیمارستان‌ها استفاده می‌شود. این اتاق مسئول جلوگیری از ورود آلاینده‌ها به اتاق عمل است.

داگ مک کی محقق ارشد امنیتی این شرکت پتانسیل بهره‌برداری روزانه از سیستم enteliBUS در یک نسخه آزمایشی را به صورت آنلاین نشان داد. مک کی گفت: "یکی از کارهایی که ما توانسته‌ایم انجام دهیم بهره‌برداری 100 درصدی از این آسیب‌پذیری به صورت از راه دور بوده است."

مک کی در یک نسخه آزمایشی نشان داد که سوءاستفاده از آسیب‌پذیری CVE-2019-9569 ، چقدر آسان است. او با داشتن یک مرکز داده شبیه‌سازی شده برای این رویداد، گفت یک مهاجم با استفاده از بهره‌برداری می‌تواند پمپ‌ها، سوپاپ‌ها و فن‌های شبکه را در سیستم HVAC مرکز داده را کنترل کند.

وی همچنین به طور خلاصه در مورد آسیب‌پذیری امنیتی ICS در پایگاه داده ملی آسیب‌پذیری توضیح می‌دهد و این توضیحات اینگونه برداشت می‌شود که می‌تواند هکر را قادر به حمله موهومی به سرویس کند. مشکل اساسی که باعث می‌شود به ترافیک شبکه حمله شود، ایجاد شدن یک سرریز بافر است که یک نوع آسیب‌پذیری از دولت ایالات‌متحده است و در یک مطالعه برنامه‌ریزی فناوری امنیت کامپیوتر در سال 1972 ثبت شده است. مطابق با نتایج ویکی‌پدیا، اولین مورد مستند از حمله سرریز بافر که در سال 1988 رخ داده است.

در مرحله اول رویداد McAfee MPOWER، مک کی نشان داد که چگونه بدافزارها برای سوءاستفاده از آسیب‌پذیری به او اجازه می‌دهند کنترل‌های HVAC و زنگ خطر یک سیستم را از کار بیندازد. اگر زنگ خطری به چنین سیستمی وصل باشد و به سیستم اطلاعات امنیتی و مدیریت رویداد مرتبط باشد می‌تواند از طریق پیام کوتاه یا پیام الکترونیکی برای مدیر سیستم هشدار ارسال کند. مک کی گفت: "با چند کلید، می‌توانم جلو بروم و زنگ را روشن کنم." استیو گروبمن مدیر ارشد فناوری McAfee در سخنرانی با مک کی گفت: "احتمالاً در پارکینگ می‌نشینید و وقتی شخصی که مسئول مرکز دیتاسنتر است رانندگی می‌کند، شما زنگ هشدار را خاموش می‌کنید."

اما هکرها می‌توانند حملات حیرت‌انگیزتری انجام دهند و در نگهداری و تعمیر سیستم ایجاد مزاحمت کنند. به‌عنوان‌مثال برای یک مرکز داده با مایع خنک شده یا هر نوع تأسیسات با یک دیگ بخار یا سیستم HVAC با آب‌خنک، یک مهاجم می‌تواند در صورت تمایل پمپ‌های شبکه را خاموش کند.

مک کی با جلوگیری از جریان هوا، مانع کارکردن سیستم HVAC شد و به دنبال آن دریچه‌ها بسته و خاموش شدند. این آسیب‌پذیری همچنین یک مهاجم را قادر به دستکاری اطلاعات، تغییر دمای خوانده شده یا متغیرهای دیگر کند.

از آنجا که حملات امنیتی ICS از طریق اینترنت قابل بهره‌برداری است یک هکر اساساً می‌تواند چنین سوءاستفاده‌ای را در هر کجا که بخواهد انجام دهد. طبق پست منتشر شده در وبلاگ McAfee ، 1600 دستگاه enteliBUS Manager وجود داشتند که در جستجوی ماه اوت در موتور جستجوی IoT Shodan.io نمایش داده شدند. درجستجوی انجام شده در "eBMGR" در تاریخ 4 اکتبر تقریباً 500 دستگاه را نشان داد که اغلب آنها در آمریکای شمالی بودند.

تعدادی از دستگاه‌های eBMGR که در Shodan نمایش داده می‌شدند دارای فیرم‌ور نسخه 3.40.571848 بودند که یکی از نسخه‌های آسیب‌پذیر McAfee ست. دستگاه‌هایی که از فیرم‌ورهای قبل از این مدل استفاده می‌کنند نیز در معرض خطر هستند.

McAfee برای اولین بار نتایج تحقیقات خود را در مورد دستگاه‌های eBMGR با Delta Controls در 7 دسامبر 2018 به اشتراک گذاشت و گفت که تأیید می‌کنیم که Delta Controls ضریب آسیب و نفوذپذیری 100 درصدی را از بین می‌برد."