Уязвимости И Вредоносный Код В Системах Промышленной Автоматизации

Веб-сервер, написанный на ABB Rapid, содержал уязвимость обхода пути, которая позволяла злоумышленнику подключиться к роботу по сети и скопировать любые файлы с контроллера робота, включая журналы операций.

Такие файлы, скорее всего, содержат различные конфиденциальные данные и ноу-хау, поэтому их можно выгодно продать на подпольных рынках.

Если злоумышленнику удастся взломать компьютер в той же сети, что и робот, он сможет под видом агента подключиться к веб-серверу контроллера, запросить интересующий его файл и получить его без авторизации, поскольку программа выполняет любые запросы агента.

Фрагмент кода уязвимого приложения.

Источник (далее, если не указано иное): Trend Micro. Строка 493 вызывает функцию sendFile для отправки запрошенного файла клиенту.

Параметр pageString никак не фильтруется, поэтому может содержать ".

/" или другой путь.

Это позволяет обойти файловую систему и загрузить практически любой файл.

Схема эксплуатации уязвимости Примечательным в данном случае стал комментарий, оставленный в коде разработчиком уязвимого веб-сервера.

Он знал, что написанный им код уязвим, но ничего не сделал для устранения проблемы, поскольку предполагал, что все запросы будут поступать от «правильного» браузера, который проверит входные данные и не допустит строку типа «.

».

для передачи обработчику.

.

\\.

В опенсорсном проекте промышленных роботов Kuka мы обнаружили уязвимость, позволяющую изменять траекторию движущейся части.

Программа получает по сети поток координат и передает их исполнительному механизму, который выполняет заданные движения.

Для этого используется специальный класс процедур — серверы автоматизации движения.

Это стандартный интерфейс, который позволяет производителям промышленных роботов обеспечить единый способ управления движением своих продуктов.

Уязвимый код сервера автоматизации дорожного движения не содержит никаких проверок легитимности передаваемых на него данных.

Серверный код никак не проверяет, откуда взялась следующая порция координат для перемещения робота; он не обеспечивает внутреннюю аутентификацию.

Единственная защита — проверка MAC-адреса и IP-адреса отправителя, любой из которых может быть легко подделан злоумышленником, проникшим в сеть.

На нашем лабораторном стенде мы проверили, что с помощью спуфинга можно фальсифицировать трафик между роботом и инженерной рабочей станцией.

Злоумышленник мог отправить произвольные координаты, а робот просто выполнил бы их, что привело бы к аварии в реальной производственной среде.

Внедряя в трафик сетевые пакеты с неверными координатами, мы смогли несколько раз вытолкнуть манипулятор за пределы зоны безопасности и ударить «рукой» робота по физическому объекту.

В действительности любая программа, созданная интегратором, считается доверенной и развертывается без проверок безопасности кода.

Компрометировав интегратор или заменив программу в уязвимом сетевом хранилище, можно незаметно внедрить вредоносный код в сеть предприятия: добавить загрузчик, который скачивает нужный злоумышленнику модуль и запускает его на исполнение в рамках стандартного производственного цикла.

Загрузчик вредоносного ПО, написанный на языке программирования для промышленных роботов Чтобы протестировать эту концепцию, мы написали дроппер на языке программирования промышленных роботов и проверили, что внешняя программа может использоваться для загрузки кода в контроллер робота и его выполнения.

Получив контроль, такая программа может выполнять дальнейшие вредоносные действия, собирая информацию о сетевой инфраструктуре, похищая файлы и учетные данные.

Для их выполнения она использует динамическую загрузку кода, но не интересуется, что именно она запускает: в программе не предусмотрена проверка целостности загружаемых библиотек.

Уязвимая логика «порядочного» приложения



Фрагмент кода, реализующий уязвимую логику.

Хотя сама программа не содержит вредоносных функций, злоумышленник может использовать ее для подачи команд роботу в нужный момент, влияя на физический мир.

Сканер также может выполнять сканирование сети, передавать произвольные файлы на управляющий сервер, вести список зараженных устройств и выступать в роли бота.

И хотя эти инструменты сами по себе не опасны, злоумышленники могут использовать их не по прямому назначению, критически влияя на безопасность робота, его оператора и подключенных систем.

Например, с их помощью можно переместить манипулятор вверх, поднять заготовку, опустить манипулятор вниз и освободить заготовку.

Этот богатый набор сложных функций дает инженерам-технологам свободу разрабатывать приложения, в которых они могут получать данные из сети, читать и записывать файлы.

Однако, поскольку платформы не обеспечивают безопасный доступ к этим расширенным возможностям, злоумышленники могут использовать их для написания вредоносных модулей.

Другая проблема устаревших языков промышленной автоматизации (Industrial Robots Programming Language, IRPL), унаследованных вместе с оборудованием, заключается в том, что они не имеют инструментов проверки кода на наличие небезопасных шаблонов, аналогичных инструментам для C, C++, C#, Java, PHP и Питон.

Каждый OEM создает свои собственные языки и среду, в которой будут работать целевые программы.

Некоторые из них основаны на операционных системах реального времени (RTOS), но в целом стандартизации нет. Семантика каждого IRPL также уникальна и может существенно отличаться от семантики языков программирования общего назначения.

Некоторые функции, такие как манипулирование строками или криптографические операции, либо отсутствуют в IRPL, либо не так развиты, как в традиционных языках.

Учитывая темпы конвергенции ИТ/ОТ, практика разработки безопасного кода должна стать приоритетом в отрасли промышленной автоматизации.

В противном случае ближайшие несколько лет могут принести нам множество сообщений об инцидентах в производственной сфере, причем последствия этих инцидентов проявятся не только в киберпространстве, но и в физическом мире.