آسیب‌پذیری ROS

زیمنس یک شرکت بین‌المللی است که دفترمرکزی آن در مونیخ آلمان قرار دارد. در این گزارش سیستم عامل  RUGGEDCOM ROS شرکت زیمنس، که برای اتصال دستگاه‌هایی که در محیط‌های صنعتی مانند پست‌های برق، و کابین‌های کنترل ترافیک مورد استفاده قرار می‌گیرند، به عنوان محصول آسیب پذیر گزارش شده اند. دستگاه‌های مبتنی بر RUGGEDCOM ROS در حوزه‌هایی شامل انرژی، بهداشت و درمان و بهداشت عمومی و سیستم حمل‌ونقل مورد استفاده قرار گرفته است. این شرکت تخمین می‌زند که این محصولات در سراسر جهان مورد استفاده قرار گرفته باشد.

استفان کراون (Stephen Craven) از ایالت Tennessee Valley Authority آسیب‌پذیری IP forwarding را در نسخه قدیمی RUGGEDCOM ROS شناسایی کرده است. این آسیب‌پذیری قادر به بهره‌برداری از راه دور می‌باشد.

تشریح آسیب‌پذیری

سیستم‌عامل ROS توانایی IP forwarding در لایه دوم را دارد که امکان غیرفعال کردن این مورد توسط کاربر میسر نمی‌باشد. مهاجم می‌تواند از طریق دور زدن VLANجدا سازی شده به تجهیز مورد نظر دسترسی پیدا کند. این حمله در صورتی امکان پذیر است که آدرس IP در هر دو VLAN تنظیم شده باشد. شناسه CVE-2015-6675 به این آسیب‌پذیری اختصاص داده شده است. درجه اهمیت این آسیب‌پذیری 4.3 است.

این آسیب‌پذیری قابلیت بهره‌برداری از راه دور را دارد. مهاجمانی با سطح دسترسی پایین قادر به بهره‌برداری از این آسیب‌پذیری می‌باشند.

نسخه   ROS4.2.0  (که Firmware آن به روز رسانی شده است) IP forwarding را غیر فعال می‌کند. شرکت زیمنس به کاربران خود توصیه می‌کند که  Firmware خود را به آخرین نسخه به روز رسانی کنند. به روزرسانی محصولات آسیب‌پذیر از راه‌های زیر قابل دسترسی است.

• ارسال درخواست پشتیبانی آنلاین

http://www.siemens.com/automation/support-request

• مرکز پاسخگویی محلی

http://www.automation.siemens.com/mcms/aspa-db/en/automationtechnology/Pages/default.aspx

اگر کاربران نیازی به ارتباط IP forwarding میان VLANها را در پیکربندی خود نداشته باشند، در این صورت کاربران بعد از به روز رسانی firmware جدید خود، می توانند IP خود را غیرفعال کنند. با توجه به دستورالعمل راهنمای کاربران، لینک زیر به کاربر این رابط شبکه پیشنهاد می‌شود.

https://support.industry.siemens.com/cs/ww/en/ps/15305/man)

  تا زمانی که Firmware  به آخرین نسخه خود به روز رسانی شود، کاربران می‌توانند آدرس‌های IP را که در شبکه VLAN در دسترس نیست را حذف کنند.

برای اطلاعات بیشتر از این آسیب‌پذیری و جزییات این دستورالعمل لطفاً از آدرس زیر بازدید نمایید.

http://www.siemens.com/cert/advisories/  

پیشنهاد می‌شود که کاربران باید اقدامات دفاعی خود را برای به حداقل رساندن خطر این بهره‌برداری از این آسیب‌پذیری انجام دهند که به شرح زیر است.

• تمامی نرم افزارها را با حالت کاربر (User) اجرا شود نه در حالت مدیر (Administrator)
• نرم افزار ها و پچ نرم افزارها از منابع معتبر دریافت شود
• از طراحی های خوب شبکه استفاده شود؛ از DMZ ها به همراه پیکربندی کامل استفاده شود؛ ترافیک بین سیستم ها و منطقه ها (zones) مانیتور شود
• از امنیت های منطقی به منظور اجرای دفاع در عمق در سیستم های کنترل صنعتی استفاده شود
• اهمیت مراقبت از تجهیزات به پرسنل گوش زد شود؛ مخصوصا آگاهی های لازم به منظور مقابله با حملات مهندسی اجتماعی به پرسنل آموزش داده شود

در ادامه به منظور برقراری امنیت بیشتر در شبکه، پیشنهاد می شود که اقدامات زیر انجام شود:

• ایزوله کردن سیستم های کنترل صنعتی از اینترنت
• شبکه سیستم های کنترل صنعتی و تجهیزات متصل به آن را پشت فایروال قرار داده و  از شبکه اداری جدا کنیم
• زمانی که اپراتور ها نیاز به دسترسی از راه دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)

تاثیراتی که این آسیب پذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت  case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد. تأثیر تجزیه‌وتحلیل مناسب برای سازمان و ارزیابی خطر قبل از اقدامات دفاعی بسیار مهم است.

محصولات آسیب‌پذیر به شرح زیر می باشد.

این شرکت گزارش داد که تأثیر آسیب‌پذیری بر نسخه‌های RUGGEDCOM ROS از قبیل زیر است.

• ROS : تمام نسخه‌های بین 3.8.0 و4.2.0

ROS محصولات زیر را تحت تأثیر قرار نمی‌دهد

• محصولات RMC
• RP110
• RC950G