Thứ Năm, 19 tháng 5, 2011

Chính phủ Mỹ làm nhớ lại ký ức về Stuxnet với cảnh báo tấn công SCADA mới

US government brings back memories of Stuxnet with new Scada attack warning

by Phil Muncaster, 12 May 2011

Theo: http://www.v3.co.uk/v3-uk/news/2070468/government-brings-memories-stuxnet-warning-scada-attacks

Bài được đưa lên Internet ngày: 12/05/2011

Lời người dịch: Lại phát hiện được một lỗi trong 2 hệ thống SCADA Iconics được biết tới như là Genesis32 and BizViz mà “Khai thác chỗ bị tổn thương này đòi hỏi một người sử dụng với kiểm soát ActiveX được cài đặt để viếng thăm một trang có chứa JavaScript được đặc biệt làm giả... Bằng việc vượt qua một chuỗi đặc biệt được làm giả đối với phương pháp 'SetActiveXGUID', có khả năng làm tràn bộ nhớ tĩnh và chạy các mã nguồn tùy ý trên máy của người sử dụng với các quyền ưu tiên của người sử dụng đã đăng nhập vào rồi”. Khai thác này có thể cho phép những tin tặc chiếm quyền các hệ thống kiểm soát SCADA.

Các chuyên gia Đội Phản ứng Khẩn cấp Không gian mạng các Hệ thống Kiểm soát Công nghiệp của Mỹ (ICS-CERT) đang cảnh báo các đội an ninh trong các nhà máy công nghiệp về khai thác có sẵn một cách công khai khác mà nó có thể cho phép những tin tặc chiếm quyền các hệ thống kiểm soát SCADA.

Trong một cảnh báo hôm thứ tư, tổ chức của chính phủ Mỹ này đã tham chiếu nghiên cứu từ hãng kiểm toán Security-Assessment.com mà hãng này đã nhấn mạnh tới một lỗi trong 2 hệ thống SCADA Iconics được biết tới như là Genesis32 and BizViz.

“Khai thác chỗ bị tổn thương này đòi hỏi một người sử dụng với kiểm soát ActiveX được cài đặt để viếng thăm một trang có chứa JavaScript được đặc biệt làm giả. Những người sử dụng thường có thể bị nhử để viếng thăm các trang web thông qua thư điện tử, các thông điệp tức thời hoặc các liên kết trên Internet”, sự tư vấn ban đầu giải thích.

“Bằng việc vượt qua một chuỗi đặc biệt được làm giả đối với phương pháp 'SetActiveXGUID', có khả năng làm tràn bộ nhớ tĩnh và chạy các mã nguồn tùy ý trên máy của người sử dụng với các quyền ưu tiên của người sử dụng đã đăng nhập vào rồi”.

Genesis32 được triển khai chủ yếu khắp Mỹ và châu Âu trong các khu vực bao gồm sản xuất, dầu và khí, nước và chất thải và các tiện ích về điện, theo ICS-CERT.

Iconics bây giờ đã đưa ra một bản vá, WebHMI V9.21, và lên kế hoạch để giải quyết lỗi này trong phiên bản cập nhật 9.22 của mình về Genesis32 và BizViz, dù điều này sẽ không có cho tới tháng 6.

Trong khi chờ đợi, ICS-CERT đã khuyến cáo những người sử dụng tại các công ty chạy các hệ thống bị ảnh hưởng sẽ là khác khau khi nháy vào các đường liên kết web hoặc mở các đính kèm không được yêu cầu trong các thư điện tử. Các lãnh đạo IT trong các cơ sở như vậy cũng nên tối thiểu hóa sự hé lộ mạng đối với tất cả các thiết bị của hệ thống kiểm soát.

“Định vị các mạng của hệ thống kiểm soát và các thiết bị từ xa đằng sau các tường lửa và cô lập chúng khỏi mạng doanh nghiệp”, ICS-CERT đã bắt đầu trong khuyến cáo. “Khi truy cập từ xa được yêu cầu, hãy sử dụng các phương pháp an ninh như các mạng riêng ảo”.

Sự để lộ lỗi khác trong các hệ thống SCADA sẽ ít gây ngạc nhiên trong nền công nghiệp này. Đã từng có một dòng đều đặn các phát hiện tương tự luôn luôn kể từ khi sâu Stuxnet đã thể hiện tác động bi thảm tiềm tàng của một cuộc tấn công bằng phần mềm độc hại được làm giả tốt vào các hệ thống công nghiệp.

Experts at the US Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) are warning security teams in industrial plants of yet another publicly available exploit which could allow hackers to take over Scada control systems.

In an alert on Wednesday (PDF), the US government organisation referenced research from audit firm Security-Assessment.com (PDF) which highlighted the flaw in two Iconics Scada systems known as Genesis32 and BizViz.

"Exploitation of this vulnerability requires a user with the ActiveX control installed to visit a page containing specially crafted JavaScript. Users can generally be lured to visit web pages via email, instant message or links on the internet," explained the original advisory.

"By passing a specially crafted string to the 'SetActiveXGUID' method, it is possible to overflow a static buffer and execute arbitrary code on the user's machine with the privileges of the logged on user."

Genesis32 is deployed mainly across the US and Europe in sectors including manufacturing, oil and gas, water and sewage and electric utilities, according to ICS-CERT.

Iconics has now issued a patch, WebHMI V9.21, and plans to address the flaw in its version 9.22 update of Genesis32 and BizViz, although this will not be until June.

In the meantime, ICS-CERT recommended users at companies running the affected systems to be wary of clicking web links or opening unsolicited attachments in emails. IT managers in such facilities should also minimise network exposure for all control system devices.

"Locate control system networks and remote devices behind firewalls and isolate them from the business network," ICS-CERT stated in the advisory. "When remote access is required, use secure methods such as virtual private networks."

The revelation of another flaw in Scada systems will surprise few in the industry. There has been a steady stream of similar discoveries ever since the Stuxnet worm demonstrated the potentially dramatic effect of a well-crafted malware attack on industrial systems.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.