07. 08. 2013

Pracovníci společnosti Positive Technologies objevili zranitelnost v zabezpečení SCADA systémů společnosti Schneider Electric. Jde o chybu u XML External Entity, která umožňuje získat citlivé informace ze systému a pomocí nich pak převzít kontrolu nad celým systémem. Schneider Electric byla informována přímo pracovníky Positive Technologies a již vydala záplaty, které odstraňují zranitelnosti dotčených systémů.

Schneider Electric je výrobce systémů pro nakládání s energiemi, průmyslových automatizačních systémů, vybavení a software. Postižené systémy Schneider Electric se nacházejí především v oblasti energetiky, výroby a infrastruktury aplikací.

Charakteristika zranitelnosti

Jde o nesprávná omezení odkazu XML External Entity v systému. Dotčené systémy mohou pak zpracovat XML dokument, který může obsahovat XML entitu s URL. Ta odkazuje na dokumenty, které se nachází mimo kontrolovanou oblast, což může vést k vložení nesprávných dokumentů do výstupu systému.

Postižené systémy

Schneider Electric informovala, že zranitelnost postihuje tyto systémy:

  • Vijeo Citect Version 7.20 a všechny předešlé verze,
  • CitectSCADA Version 7.20 a všechny předešlé verze,
  • PowerLogic SCADA Version 7.20 a všechny předešlé verze.

Dopad zranitelnosti

Tato chyba zabezpečení může vést k prozrazení důvěrných informací, protože umožňuje přístup k lokálním souborům a interním zdrojům, nebo může způsobit, že server spustí libovolný HTTP požadavek, případně ovlivní dostupnost systému.

Důsledky případného napadení systému závisí na mnoha faktorech, které jsou specifické pro každou organizaci. Doporučuje se, aby organizace zhodnotily dopad této chyby vzhledem k povaze provozního prostředí, architektury a implementace systému.

Oprava

Společnost Schneider Electric vydala opravné záplaty pro verze 7.10 a 7.20 každého postiženého produktu zde. Odkazy pro download opravných záplat konkrétních dotčených produktů jsou uvedeny zde.

Další doporučení

Uživatelům SCADA systémů se doporučuje přijmout další (většinou obecně známá, ale nedodržovaná) ochranná opatření proti podobným bezpečnostním rizikům.

  • Minimalizovat zviditelnění a přístupnost zařízení řídicích systémů z internetu. Kritické systémy a jimi obsluhovaná zařízení by neměly být fyzicky přístupny z internetu.
  • Části sítí s řídicími systémy by měly být izolovány od firemních administrativních sítí.
  • Je-li zapotřebí vzdálený přístup k systémům, používat vždy bezpečné metody, jako je například využívání virtuální privátní sítě (VPN) s vědomím, že VPN je pouze tak bezpečná, jak bezpečná (zabezpečená) jsou připojovaná zařízení.

Některá doporučení pro postupy kontroly bezpečnosti systémů lze najít na stránkách amerického The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Doporučené postupy jsou k dispozici pro čtení i ke stažení na následujících odkazech:

http://nvd.nist.gov/cvss.cfm?version=2&vector=AV:L/AC:M/Au:N/C:C/I:C/A:C
http://ics-cert.us-cert.gov/content/recommended-practices
http://ics-cert.us-cert.gov/tips/ICS-TIP-12-146-01B

Další relevantní odkazy:

https://ics-cert.us-cert.gov/advisories/ICSA-13-217-02
http://www.citect.schneider-electric.com/index.php?option=com_sepage&view=servicepacks&Itemid=922
http://www.schneider-electric.com/download/ww/en/details/125349410-Vulnerability-Disclosure---CitectSCADA-Vijeo-Citect-PowerLogic-SCADA/?reference=SEVD-2013-197-01
http://www.schneider-electric.com/sites/corporate/en/support/cybersecurity/cyber-security-vulnerabilities-sorted.page
http://cwe.mitre.org/data/definitions/611.html