Mitsubishi MELSEC iQ-F-серия Промышленные контроллеры

2022

Устранение уязвимостей, позволяющих неавторизованным пользователям получить доступ к ПЛК

Эксперты Positive Technologies Антон Дорфман, Дмитрий Скляров, Владимир Назаров и Илья Рогачев выявили семь уязвимостей в программном обеспечении для промышленных контроллеров компании Mitsubishi Electric. Эксплуатация этих уязвимостей позволяла неавторизованным пользователям получить доступ к ПЛК MELSEC серий iQ-R/F/L и серверному модулю OPC UA серии MELSEC iQ-R. Об этом компания Positive Technologies сообщила 22 декабря 2022 года.

Инженерное программное обеспечение GX Works3 и утилита MX OPC UA Module Configurator-R используются для программирования ПЛК Mitsubishi Electric, настройки их параметров, загрузки проектов, мониторинга, диагностики и отладки. GX Works3 является основным инструментом, с помощью которого создается проект ПЛК для техпроцесса и вносятся все дальнейшие изменения в процессе эксплуатации.

Контроллеры Mitsubishi Electric используются в водном хозяйстве, для автоматизации инженерных систем зданий, в судоходстве, в производстве продуктов питания и других сферах, — прокомментировал Антон Дорфман, ведущий специалист отдела анализа приложений, Positive Technologies. — Основная часть найденных уязвимостей связана с механизмами предотвращения нелегального доступа к программам в проектах в среде GX Works3 и исполнения программ в ПЛК. Если атакующий получит файл проекта ПЛК, то он сможет извлечь из него пароль, авторизоваться на ПЛК и, например, воспользоваться командой остановки контроллера. Как и эксплуатация уязвимостей, которые мы выявили ранее и сообщили о них в апрелеи августе, подобные атаки могут нарушить технологический процесс, хотя и имеют совершенно другой вектор.

Самая опасная уязвимость CVE-2022-29830 получила оценку 9,1 из 10 по шкале CVSS 3.1. Ее эксплуатация может привести к раскрытию всей информации о проекте. Это может привести к потере конфиденциальности (просмотру), краже или подмене файлов проекта. Подмена файлов проекта может повлечь за собой несанкционированное изменение либо нарушение технологического процесса.Система управления рисками и внутреннего контроля (СУРиВК) GRC на «Триафлай» — это просто 4.7 т

Уязвимость CVE-2022-25164 получила оценку 8,6 из 10 по шкале CVSS 3.1. В случае получения злоумышленником файла с проектом он сможет извлечь из него пароль для подключения к ПЛК.

Эксплуатация пяти уязвимостей CVE-2022-29825 (оценка 5,6), CVE-2022-29826 (6,8), CVE-2022-29827 (6,8), CVE-2022-29828 (6,8), CVE-2022-29829 (6,8) может привести к раскрытию чувствительной информации. На ее основе неавторизованный пользователь может получить нелегальный доступ к проектам в GX Works3 и осуществить несанкционированное исполнение программ в ПЛК.

Для минимизации рисков, связанных с этими уязвимостями, пользователям необходимо следовать рекомендациям Mitsubishi Electric, опубликованным в уведомлении о безопасности, в том числе установить последнюю версию инженерного программного обеспечения GX Works3 с исправлениями.

Это финальная часть большого исследования безопасности ПЛК Mitsubishi, выполненного экспертами под руководством Антона Дорфмана. Отчет об уязвимостях был отправлен вендору год назад — в декабре 2021 года. На его основе Mitsubishi Electric планомерно закрывает уязвимости (апрель, август), повышая уровень защищенности своих продуктов.

Исправление двух уязвимостей в контроллерах

Эксперт Positive Technologies Антон Дорфман обнаружил две уязвимости в контроллерах Mitsubishi серии MELSEC iQ-F — эти устройства применяются в пищевой и легкой промышленности, в деревообработке, типографиях, водном хозяйстве, судоходстве, для автоматизации инженерных систем зданий и в других сферах. Об этом 16 августа 2022 года сообщили в Positive Technologies.

На август 2022 года Mitsubishi выпустила свыше 17 миллионов компактных ПЛК .

Уязвимости были обнаружены в моноблочных компактных контроллерах FX5S, FX5UJ, FX5U, FX5UC серии MELSEC iQ-F.

Нарушитель, действующий удаленно, мог вызвать отказ в обслуживании контроллеров Mitsubishi путем отправки специально сформированных пакетов. Атака такого типа негативно повлияет на производственный процесс — нарушит его либо приведет к длительной остановке. Последнее для большинства предприятий является недопустимым событием: в некоторых случаях повторный запуск может обойтись в значительную сумму, — рассказал руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров

Более опасной признана уязвимость CVE-2022-25161 (оценка 8,6 по шкале CVSS v3.1). Эксплуатация этой уязвимости позволяет читать и писать за пределами разрешенного диапазона памяти. Запись случайных значений приводит к целочисленному переполнению, что вызывает отказ в обслуживании устройства. Вторая уязвимость, CVE-2022-25162, также связанная с риском DoS-атаки, менее опасна (для восстановления пораженного контроллера не нужна перезагрузка, уязвимость не оказывает влияния на другие компоненты системы) — она получила оценку 5,3.

Для снижения риска эксплуатации уязвимостей вендор выпустил рекомендации и представил обновленную прошивку, в которой проблемы устранены. Чтобы предотвратить атаки в тех случаях, когда требуется доступ в интернет, Mitsubishi рекомендует использовать межсетевые экраны или виртуальную частную сеть (VPN). Кроме того, специалисты компании советуют применять функцию IP-фильтра для ограничения подключений к продуктам и предотвращения доступа из ненадежных сетей или узлов.

Для анализа защищенности производственных систем мы также рекомендуем использовать киберполигоны, такие как платформа The Standoff 365, — это современные решения, которые позволяют проверить возможность реализации атак на системы, при этом не нарушая технологический процесс, — отметил Владимир Назаров