В систему глубокого анализа промышленного трафика PT Industrial Security Incident Manager (PT ISIM) добавлен пакет экспертизы для обнаружения попыток эксплуатации уязвимостей в ПЛК WAGO и программном комплексе промышленной автоматизации компании CODESYS, программное обеспечение которой используют многие зарубежные и российские производители контроллеров. Новые правила позволяют обнаруживать попытки доступа злоумышленников с высокими привилегиями к файловой системе контроллеров, атаки типа «отказ в обслуживании» и вмешательство в работу PC-систем, выполняющих функции ПЛК.
Описанные уязвимости были обнаружены экспертами Positive Technologies и впоследствии устранены CODESYS. Однако далеко не все пользователи устройств оперативно устанавливают обновления, поэтому риск эксплуатации этих уязвимостей остается. Атакующим может даже не потребоваться авторизация, достаточно иметь лишь сетевой доступ к промышленному контроллеру. Программное обеспечение компании используют для разработки собственных ПЛК более 15 разработчиков по всему миру, включая WAGO, Beckhoff, Kontron, Moeller, Festo, Mitsubishi и HollySys. Шесть уязвимостей, выявленных нашими экспертами, имеют критически высокий уровень опасности (10 из 10 баллов по шкале CVSS 3.0), три — высокий уровень опасности (8,8 балла), еще одна получила оценку 5,3. Новый пакет экспертизы PT ISIM позволит обнаружить попытки эксплуатации этих уязвимостей в ПЛК WAGO и программном комплексе промышленной автоматизации CODESYS.
В состав нового пакета экспертизы PT ISIM вошли правила, позволяющие обнаружить вредоносную активность с использованием уязвимостей в контроллерах WAGO PFC200 и программном обеспечении CODESYS, в том числе:
- эксплуатацию уязвимостей в системе реального времени CODESYS Control V2 communication, которая позволяет встраиваемым PC-системам выполнять функции ПЛК (CVE-2021-30186, CVE-2021-30188);
- получение доступа к файловой системе контроллера с правами на чтение и модификацию (CVE-2021-21001);
- отказ в обслуживании сервиса iocheckd, предназначенного для проверки входов и выходов ПЛК, а также отображения его конфигурации (CVE-2021-21000).
Это уже шестой пакет экспертизы в PT ISIM. Ранее были опубликованы правила, позволяющие обнаружить попытки эксфильтрации данных и туннелирования соединений из АСУ ТП, использование инструментов для пентеста, похищенных у FireEye, попытки эксплуатации уязвимостей в роутерах MikroTik, коммутаторах Cisco и службе удаленного рабочего стола Windows, а также в ОС для встраиваемых устройств VxWorks и программном обеспечении Cisco. Кроме того, были опубликованы специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation.
Новый пакет экспертизы дополняет входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI, которая содержит более 4000 индикаторов и правил обнаружения различных атак на оборудование ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и других производителей АСУ ТП.
https://www.ptsecurity.com/ru-ru/about/news/pt-isim-vyyavlyaet-ehkspluataciyu-kriticheski-opasnyh-uyazvimostej-v-programmnom-komplekse-promyshlennoj-avtomatizacii-codesys/