نماد سایت اتاق خبر شبکه گستر

افشای دو آسیب‌پذیری حیاتی در محصولات Rockwell PLC

جزئیات دو آسیب‌پذیری امنیتی جدید در کنترل‌گر منطقی برنامه‌‌پذیر (Programmable Logic Controllers – به اختصار PLC) متعلق به شرکت راکول آتومیشن (.Rockwell Automation, Inc)، منتشر شده است که می‌تواند توسط مهاجم جهت تزریق کد مخرب به سیستم‌های آسیب‌‌پذیر و تغییر مخفیانه فرآیندهای خودکارسازی (Automation Processes) مورد سوءاستفاده قرار گیرد.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده ضعف‌های امنیتی مذکور مورد بررسی قرار گرفته است.

 

این ضعف‌های امنیتی، امکان ایجاد اختلال در فعالیت‌های صنعتی و آسیب فیزیکی به کارخانه‌ها را به شیوه‌ای مشابه حملات Stuxnet و Rogue7 دارند.

منطق قابل برنامه‌ریزی و متغیرهای از پیش تعریف‌شده، این فرآیندهای خودکارسازی را هدایت کرده و تغییرات در هر کدام، باعث تغییر در عملکرد عادی تجهیزات PLC و فرآیندهایی که مدیریت می‌کند، می‌شود.

 

جزئیات دو آسیب‌پذیری به شرح زیر است:

مهاجم با بهره‌جویی موفقیت‌آمیز از این ضعف‌های امنیتی می‌تواند برنامه‌های کاربر را دستکاری کند و کدهای مخرب را دریافت و در کنترل‌کننده (Controller) قرار دهد و عملاً عملکرد عادی تجهیزات PLC را تغییر داده و فرامین مخرب را به دستگاه‌های فیزیکی که توسط سیستم صنعتی کنترل‌ می‌شوند، ارسال کند.

سوءاستفاده از هر دو این آسیب‌پذیری‌ها نتیجه یکسانی خواهد داشت؛ کارشناس تصور می‌کند که برنامه سالم او بر روی سیستم PLC در حال اجرا است، در حالیکه یک برنامه کاملاً متفاوت و مخرب بر روی PLC اجرا می‌شود.

آژانس دولتی “امنیت سایبری و امنیت زیرساخت آمریکا” (Cybersecurity & infrastructure Security Agency – به اختصار CISA) توصیه می‌کند که به علت درجه شدت این آسیب‌پذیری‌ها، راهبران امنیتی در اسرع وقت با مراجعه به نشانی‌های زیر اقدامات لازم را برای سخت‌افزارها و نرم‌افزارهای آسیب‌‌پذیر انجام دهند.

https://www.cisa.gov/uscert/ncas/current-activity/2022/03/31/cisa-releases-security-advisories-rockwell-automation-products

https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-05

https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-07

 

منبع:

https://thehackernews.com/2022/04/critical-bugs-in-rockwell-plc-could.html

خروج از نسخه موبایل