रॉकवेल ऑटोमेशन पीएलसी में कमजोरियां स्टक्सनेट जैसे हमलों को सक्षम कर सकती हैं


रॉकवेल ऑटोमेशन के प्रोग्रामेबल लॉजिक कंट्रोलर (पीएलसी) प्लेटफॉर्म के एक सुरक्षा विक्रेता के हालिया विश्लेषण ने दो गंभीर कमजोरियों को उजागर किया है जो हमलावरों को स्वचालन प्रक्रियाओं को संशोधित करने और संभावित रूप से औद्योगिक संचालन को बाधित करने, कारखानों को शारीरिक नुकसान पहुंचाने या अन्य दुर्भावनापूर्ण कार्रवाई करने का एक तरीका प्रदान करते हैं।

क्लैरोटी टीम82 के शोधकर्ताओं ने कमजोरियों की खोज की और इस सप्ताह उन्हें प्रकृति में स्टक्सनेट जैसी प्रकृति के रूप में वर्णित किया क्योंकि वे किसी भी स्पष्ट रूप से असामान्य व्यवहार को ट्रिगर किए बिना पीएलसी पर हमलावरों को दुर्भावनापूर्ण कोड चलाने की अनुमति देते हैं।

रॉकवेल ऑटोमेशन ने एक साथ अपने ग्राहकों के लिए दो दोषों पर सलाह प्रकाशित की। सलाह उपलब्ध हैं यहां तथा यहांजिनके पास खाता है।

कमजोरियों ने संकेत दिया एक चेतावनी यूएस साइबरसिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) से गुरुवार को जो प्रभावित घटकों का उपयोग करने वाले संगठनों को शमन उपायों और खतरे को संबोधित करने के लिए एक पहचान विधि के लिए इंगित करता है। एजेंसी का कहना है कि कमजोरियां दुनिया भर के महत्वपूर्ण बुनियादी ढांचा क्षेत्र के संगठनों को प्रभावित करती हैं। यह कम हमले की जटिलता के रूप में कमजोरियों की पहचान करता है और उनमें से एक को दूर से शोषक होने के रूप में पहचाना जाता है।

दूर से शोषक भेद्यता
दूरस्थ रूप से शोषण योग्य भेद्यता (CVE-2022-1161) की अधिकतम गंभीरता रेटिंग 10 है और यह PLC फर्मवेयर में मौजूद है जो रॉकवेल के ControlLogix, CompactLogix और नियंत्रण प्रणालियों की GuardLogix लाइनों पर चल रहा है।

क्लारोटी में अनुसंधान के उपाध्यक्ष अमीर प्रेमिंगर कहते हैं, ये रॉकवेल की सूची में पीएलसी की अग्रणी लाइनें हैं। “ये उपकरण ऑटोमोटिव, खाद्य और पेय, और तेल और गैस सहित लगभग सभी कार्यक्षेत्रों में आम हैं,” प्रेमिंगर कहते हैं। “एकमात्र उद्योग जिसके बारे में हम सोच सकते हैं कि हम उन्हें कहाँ देखने की उम्मीद नहीं करेंगे, वह है बिजली पारेषण और वितरण।”

प्रीमिंगर का कहना है कि भेद्यता इस तथ्य से जुड़ी है कि पीएलसी निष्पादन योग्य फ़ाइल – या बाइटकोड – और स्रोत कोड (उर्फ टेक्स्ट कोड) को पीएलसी पर अलग-अलग स्थानों में संग्रहीत करता है। यह हमलावरों को स्रोत कोड को बदले बिना बायटेकोड को संशोधित करने का एक तरीका देता है।

“पीएलसी को दोनों के अनुकूल होने की आवश्यकता नहीं है,” प्रेमिंगर कहते हैं। “जब एक इंजीनियर पीएलसी से जुड़ता है, तो वे एक ही टेक्स्ट कोड को चलते हुए देखेंगे, जबकि बाइटकोड को बदल दिया गया था, जिसके परिणामस्वरूप दुर्भावनापूर्ण कोड बिना किसी बदलाव के संकेत के चल रहा था।” क्लारोटी की पहचान की गई 17 रॉकवेल पीएलसी मॉडल प्रभावित हो रहे हैं।

CISA के अलर्ट में कहा गया है कि यह समस्या एक अविश्वसनीय क्षेत्र से कार्यक्षमता को शामिल करने को नियंत्रित करने में विफलता से उत्पन्न हुई है। समस्या के समाधान के लिए इसकी सिफारिशें हैं: यहां उपलब्ध है.

कोड इंजेक्शन भेद्यता
दूसरी भेद्यता (CVE-2022-1159) रॉकवेल के स्टूडियो 5000 लॉजिक्स डिज़ाइनर में मौजूद है, जो सॉफ्टवेयर इंजीनियर अपने पीएलसी को प्रोग्राम करने के लिए उपयोग करते हैं। सॉफ्टवेयर इंजीनियरों को कंपनी के प्रोग्रामेबल लॉजिक कंट्रोलर्स की लाइन में नए विकसित लॉजिक को विकसित करने, संकलित करने और स्थानांतरित करने की अनुमति देता है।

प्रीमिंगर कहते हैं, परिचालन प्रौद्योगिकी वातावरण में इंजीनियरों के लिए पीएलसी में जटिल तर्क को अपग्रेड करना, पीएलसी को नियंत्रित करने वाली किसी भी प्रक्रिया में सुधार, ट्विक या संशोधित करना आम बात है। स्टूडियो 5000 लॉजिक्स डिज़ाइनर में भेद्यता एक हमलावर को अनुमति देती है जिसके पास पहले से ही संकलन प्रक्रिया को हाईजैक करने और दुर्भावनापूर्ण कोड को इंजेक्ट करने के लिए सॉफ़्टवेयर चलाने वाले वर्कस्टेशन पर प्रशासनिक पहुंच है, जिसे वे बिना किसी अलर्ट के पीएलसी पर निष्पादित कर सकते हैं।

“CVE-2022-1159 एक हमलावर को कोड बदलने में सक्षम बनाता है क्योंकि इसे उपयोगकर्ता के ज्ञान के बिना संकलित किया जा रहा है,” प्रेमिंगर कहते हैं। “इसका परिणाम तर्क में परिवर्तन हो सकता है कि इंजीनियर ने सोचा था कि वे पीएलसी में स्थानांतरित हो रहे थे।”

भेद्यता को 10 में से 7.7 की गंभीरता रेटिंग दी गई है, जो इसे उच्च प्राथमिकता देती है लेकिन जरूरी नहीं कि एक महत्वपूर्ण भेद्यता हो। CISA’s सलाहकार दोष के लिए इसे एक कोड इंजेक्शन मुद्दा कहा जाता है।

स्टक्सनेट जैसे हमलों के लिए संभावित?
दोनों कमजोरियां विभिन्न रॉकवेल ऑटोमेशन घटकों में मौजूद हैं। लेकिन वे हमलावरों को अनिवार्य रूप से एक ही काम करने में सक्षम बनाते हैं: एक पीएलसी में तर्क प्रवाह को बदलने के लिए सिस्टम द्वारा नियंत्रित किए जा रहे भौतिक उपकरणों पर सेट किए जा रहे नए आदेशों को ट्रिगर करने के लिए। उदाहरण के तौर पर, क्लारोटी के शोधकर्ताओं ने कहा कि उन्होंने कुछ टैग – या ऑटोमेशन प्रोसेस वेरिएबल – को अलग-अलग मूल्यों में बदल दिया है, जिसके परिणामस्वरूप वास्तविक जीवन की स्थिति में इंजन की गति में हेरफेर होने जैसी चीजें ऑटोमेशन प्रक्रिया को महत्वपूर्ण नुकसान पहुंचा सकती हैं।

“यह एक स्टक्सनेट-प्रकार का हमला है क्योंकि स्टक्सनेट पहला रिपोर्ट किया गया हमला था जिसने पीएलसी पर निष्पादित बाइटकोड छुपाया था, जबकि इंजीनियरों को यह विश्वास था कि सामान्य कोड निष्पादित किया गया था, ” प्रेमिंगर कहते हैं। “स्टक्सनेट ने सभी दृश्य संकेतों को बदल दिया कि कुछ और चल रहा था, जिसके परिणामस्वरूप स्टक्सनेट के मामले में, सेंट्रीफ्यूज जो इरादा था उससे अधिक तेजी से घूम रहा था और एक अप्रत्याशित परिणाम दे रहा था।”

आईसीएस सुरक्षा को लेकर चिंता कोई नई बात नहीं है। लेकिन वे हाल के वर्षों में बढ़ रहे हैं। ए हाल के एक अध्ययन क्लारोटी से 2020 की तुलना में 2021 में रिपोर्ट की गई आईसीएस कमजोरियों में 52% की वृद्धि हुई है। यह 2019 और 2020 के बीच आईसीएस कमजोरियों में 25% की वृद्धि की तुलना में काफी अधिक वृद्धि है। 82 विक्रेताओं में से जिनके आईसीएस उत्पादों में पिछले साल कमजोरियां थीं, 21 ने पहले किसी भी दोष की सूचना नहीं दी थी, जिसका अर्थ है कि शोधकर्ताओं ने आईसीएस बग के लिए अधिक व्यापक रूप से शिकार करना शुरू कर दिया है।

पिछली रिपोर्ट पिछले साल जारी क्लारोटी ने दिखाया कि 2021 के पहले छह महीनों में उजागर की गई कमजोरियों में से 90% में कम हमले की जटिलता थी और 71% की ‘उच्च’ या ‘महत्वपूर्ण’ की गंभीरता रेटिंग थी। 10 में से छह से अधिक (61%) दूरस्थ रूप से निष्पादन योग्य थे, और 74% को निष्पादित करने के लिए किसी विशेषाधिकार की आवश्यकता नहीं थी।

औपनिवेशिक पाइपलाइन पर हमले जैसे हमले और एफबीआई द्वारा हाल ही में कुख्यात ट्राइटन मैलवेयर के संचालकों के बारे में जारी की गई रिपोर्ट जैसी रिपोर्ट हमला जारी है ऊर्जा क्षेत्र के संगठनों – जैसे उन्होंने 2017 में सऊदी अरब की ऊर्जा फर्म में किया था – ने उन चिंताओं को काफी बढ़ा दिया है। इस तरह की चिंताओं ने महत्वपूर्ण नए में योगदान दिया है निवेश तथा पहल पिछले एक साल में अमेरिकी सरकार से साइबर सुरक्षा के आसपास।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here