آسیب‌پذیری سوئیچ‌های GE

GE یک شرکت آمریکایی بوده که دفاتر زیادی در سراسر دنیا دارد.

به گزارش واحد متخصصین سایبربان؛ سوئیچ‌های اترنت سری ML800، سوئیچ‌های فشرده (compact) و صنعتی شده (به منظور کاربردهای صنعتی) هستند که به‌صورت خاص برای استفاده در تأسیسات صنعتی، پست‌ها و نقل و انتقالات محیطی مورداستفاده قرار می‌گیرد. این محصول به‌منظور پشتیبانی شبکه‌های با سرعت‌بالا با مدیریت کارایی و پشتیبانی پروتکل‌ها و تجهیزات صنعتی مورداستفاده قرار می‌گیرد. بر اساس گزارشی که این شرکت ارائه کرده است، این محصول در بخش‌های مختلفی چون زیرساخت‌های حیاتی، انرژی، سیستم‌های آب و فاضلاب و ... به کارگیری شده است. ضمناً این شرکت برآورد کرده است که این محصول به صورت جهانی مورد استفاده قرار گرفته است.

محققی به نام Eireann Leverett از شرکت IOActive دو آسیب‌پذیری را از سوئیچ‌های Multilink سری ML800 شرکت General Electric (GE) را شناسایی کرده است. شرکت GE Digital Energy این آسیب‌پذیری‌ها را تصدیق کرده است. از طرفی در این گزارش اعلام‌شده است که این آسیب‌پذیری‌ها سری های دیگری از این سوئیچ‌ها را (سوئیچ‌های اترنت) تحت تأثیر قرار داده است. به همین منظور شرکت General Electric سفت افزارهای بروز رسانی شده‌ای را ارائه کرده و به کاربران خود توصیه کرده است که سفت افزار سوئیچ‌ها را بروز رسانی کرده و پیکربندی سرورهای وبی خود را به‌منظور کاهش آسیب‌پذیری‌ها غیرفعال کنند. این آسیب‌پذیری‌ها به‌صورت عمومی قابل بهره‌برداری می‌باشد. لازم به ذکر است که این آسیب‌پذیری‌ها قابلیت بهره‌برداری از راه دور را دارد.

دسترسی به سوئیچ‌های Multilink ML800 شرکت GE را می‌توان از طریق عدم احراز هویت اعتبار hard-coded ایجاد کرد. علاوه بر این، دسترس‌پذیری نیز می‌تواند طی حمله از طریق دست‌کاری و ارسال بسته‌های مشخصی به وب سرور تحت تأثیر قرار گیرد که این کار منجر به پایین آمدن کارایی سوئیچ می‌شود. اگر حمله به‌این‌ترتیب ادامه پیدا کند، امکان دارد که وب سرور DoS کند. تأثیراتی که این آسیب‌پذیری برای سازمان‌ها ایجاد می‌کند، برای هر سازمان کاملاً منحصربه‌فرد بوده و به‌صورت case study باید مورد مطالعه قرار گیرد. بررسی تأثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

تشریح آسیب‌پذیری به شرح زیر می‌باشد:

RESOURCE CONSUMPTION

استفاده از پکت های دستکاری شده می‌تواند دستگاه را مجبور کند که منابعش (resources) را تا زمانی که کارایی دستگاه پایین بیاید خالی کند. ارسال مکرر پکت های مخرب موجب می‌شود که منابع سوئیچ تخلیه شده و به‌منظور بهره‌برداری از دستگاه مجبور به راه‌اندازی مجدد (reboot) سیستم شود. شناسه CVE-2014-5418 به این آسیب‌پذیری اختصاص‌یافته است.

HARD-CODED KEY

با استفاده از کلید (key) خصوصی RSA به منظور رمزگشایی ترافیک SSL در سوئیچ، موجب می‌شود که کاربران مخرب به سفت افزار (firmware) دسترسی پیداکرده و بتوانند ترافیک را رمزگشایی کنند. شناسه CVE-2014-5419 به این آسیب‌پذیری اختصاص‌یافته است.

این آسیب‌پذیری‌ها قابلیت بهره‌برداری از راه دور را داشته و یک مهاجم با سطح مهارت پایین می‌تواند از این آسیب‌پذیری بهره‌برداری موفق داشته باشد.

شرکت GE به مشتریان خود پیشنهاد می‌کند که به منظور کاهش آسیب‌پذیری ارائه‌شده، سفت افزاری را در آدرس زیر آمده است را دانلود و نصب کنند.

ازآنجایی‌که حمله DoS به منظور تأثیر بر رابط‌های وبی به منظور پیکربندی تجهیزات می‌باشد، این شرکت توصیه می‌کند که رابط‌های وبی و کاربرانی که چه به‌صورت محلی و چه از راه دور می‌توانند سرورهای وبی را پیکربندی کنند، غیرفعال سازند. همچنین توصیه‌های بیشتری نیز در همین موضوع در آدرس زیر بیان‌شده است:

http://www.gedigitalenergy.com/products/support/multilink/MLSB1214.pdf

در ادامه به‌منظور برقراری امنیت بیشتر در شبکه، پیشنهاد می‌شود که اقدامات زیر انجام شود:

• ایزوله کردن سیستم‌های کنترل صنعتی از اینترنت
• شبکه سیستم‌های کنترل صنعتی و تجهیزات متصل به آن را پشت فایروال قرار داده و از شبکه اداری جدا کنیم
• زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب‌پذیر باشند و باید به صورت پیوسته بروز رسانی شوند)

محصولات آسیب‌پذیر به شرح زیر می‌باشد.

• سوئیچ‌های اترنت سری ML800/1200/1600/2400 نسخه 4.2.1 به قبل شرکت GE
• سوئیچ‌های اترنت سری ML810/3000/3100 نسخه 5.2.0 به قبل شرکت GE