آسیب پذیری سوئیچ های صنعتی شرکت Moxa

شرکت Moxa یک شرکت تایوانی(Taiwan) است که چندین شعبه در سراسر دنیا دارد. دفاتر این شرکت شامل آمریکا، هند، آلمان، فرانسه، چین، روسیه، و برزیل می‌باشد.

به گزارش واحد متخصصین سایبربان سری EDS-405A/408A سطح 5، با 8 پورت ورودی، از طراحی‌های موفق برای این صنعت بوده است. این سوئیچ مدیریت‌های پشتیبانی سوئیچ ازجمله حلقه توربو،زنجیره‌ ها،جفت حلقه،پایه ورودی VLAN ، QoS ، RMON ، مدیریت پهنای باند،پورت‌های معکوس و هشدار از طریق ایمیل یا رله را پشتیبانی می‌کند.

این سوئیچ‌ها در حوزه‌های مختلفی مورداستفاده قرار می‌گیرند. این حوزه‌ها شامل بخش شیمیایی ، تأسیسات تجاری ، تولیدات حیاتی، خدمات اضطراری ، انرژی ، مواد غذایی و کشاورزی ، تأسیسات دولتی ، سیستم‌های آب و فاضلاب می‌باشد. این شرکت برآورد کرده است که اکثر محصولات آسیب‌پذیر درسراسر دنیا به‌صورت مورداستفاده قرار می‌گیرند. اما شایان‌ذکر است که این محصولات به صورت متمرکز در کشور‌های آمریکا ، اروپا ، شیلی ، آرژانتین ، پرو ، کلمبیا  و تایوان مورد استفاده قرار گرفته است. گفتنی است که 50 تا60 درصد از فروش این محصولات در آمریکا مورد استفاده قرار می‌گیرند.

اروین پیترنوت(Erwin Paternotte) آسیب‌پذیری در سوئیچ‌های صنعتی موکزا (Moxa) سری EDS-405A/EDS-408A را کشف کرد. این شرکت به منظور کاهش آسیب‌پذیری‌های گزارش شده، firmwareهای مربوطه را به‌روزرسانی کرده است. این آسیب‌پذیری‌ها قابلیت بهره‌برداری از راه دور را دارد.

تشریح آسیب‌پذیری‌ها

مدیریت ناقص سطح دسترسی‌ها (IMPROPER PRIVILEGE MANAGEMENT)

آسیب‌پذیری افزایش سطح دسترسی سوئیچ‌های صنعتی توسط رابط وب اداری این شرکت پیدا شد. حساب کاربرانی که سطح‌بندی شده‌اند به‌صورت پیش‌فرض دسترسی فقط خواندنی به رابط وب دارند. سازوکاری که کاربران سطح‌بندی شده را از دسترسی به تغییر تنظیمات تجهیزات رابط وب منع می‌کند، به راحتی قابل دور زدن است. این مسئله موجب می‌شود که مهاجمان از این طریق به رابط وب دسترسی داشته باشند. شناسه CVE-2015-6464 به این آسیب‌پذیری اختصاص داده‌شده است.درجه اهمیت این آسیب‌پذیری8.5  است.

RESOURCE EXHAUSTION

 وب سرورGoAhead  نصب‌شده در سوئیچ‌های صنعتی این شرکت در برابر حملات DoS آسیب‌پذیر می‌باشند. آدرس دست‌کاری شده توسط کاربر معتبر، منجر به  راه‌اندازی مجدد دستگاه می‌شود. شناسه CVE-2015-6465 به این آسیب‌پذیری اختصاص داده شده است.درجه اهمیت این آسیب‌پذیری 6.8 است.

CROSS-SITE SCRIPTING

آسیب‌پذیری XSS در قسمت مدیریتی رابط وب سوئیچ صنعتی این شرکت پیداشده است که با تزریق کدهای جاوا اسکرییت می‌تواند مورد حمله قرار بگیرد. شناسهCVE-2015-6466  به این آسیب‌پذیری اختصاص داده شده است.درجه اهمیت این آسیب‌پذیری 4.3 است.

این آسیب‌پذیری قابلیت بهره برداری از راه دور را دارد. مهاجمانی با سطح مهارت پایین قادر به بهره‌برداری از این آسیب‌پذیری هستند.

این شرکت به منظور کاهش آسیب‌پذیری‌های انتشار داده شده، firmware دستگاه‌های آسیب‌دیده را به‌روزرسانی کرده است. این به‌روزرسانی در آدرس زیر در دسترس است.

 http://www.moxa.com/support/download.aspx?type=support&id=328

به کاربران پیشنهاد می‌شود که برای کاهش خطرات این آسیب‌پذیری‌ها اقدامات زیر را انجام دهند.

• تمامی نرم افزارها را با حالت کاربر (User) اجرا شود نه در حالت مدیر (Administrator)
• نرم افزار ها و پچ نرم‌افزارها از منابع معتبر دریافت شود
• از طراحی‌های خوب شبکه استفاده شود؛ از DMZ ها به همراه پیکربندی کامل استفاده شود؛ ترافیک بین سیستم‌ها و منطقه‌ها (zones) مانیتور شود
• از امنیت‌های منطقی به‌منظور اجرای دفاع در عمق در سیستم‌های کنترل صنعتی استفاده شود
• اهمیت مراقبت از تجهیزات به پرسنل گوش زد شود؛ مخصوصا آگاهی های لازم به منظور مقابله با حملات مهندسی اجتماعی به پرسنل آموزش داده شود

در ادامه به منظور برقراری امنیت بیشتر در شبکه، پیشنهاد می شود که اقدامات زیر انجام شود:

• ایزوله کردن سیستم های کنترل صنعتی از اینترنت
• شبکه سیستم‌های کنترل صنعتی و تجهیزات متصل به آن را پشت فایروال قرار داده و  از شبکه اداری جدا کنیم
• زمانی که اپراتورها نیاز به دسترسی از راه دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب‌پذیر باشند و باید به صورت پیوسته بروز شوند)

تأثیراتی که این آسیب‌پذیری برای سازمان‌ها ایجاد می‌کند، برای هر سازمان کاملاً منحصربه‌فرد بوده و به‌صورت  case study باید مورد مطالعه قرار گیرد. بررسی تأثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد. 

محصولات آسیب‌پذیر به شرح زیر می باشد.

• نسخه V3.4 سوئیچ‌های صنعتی سری   EDS-405A/EDS-408A  و نسخه‌های قبل