Chính phủ Mỹ làm nhớ lại ký ức về Stuxnet với cảnh báo tấn công SCADA mới

USgovernment brings back memories of Stuxnet with new Scada attackwarning

by Phil Muncaster, 12 May2011

Theo:http://www.v3.co.uk/v3-uk/news/2070468/government-brings-memories-stuxnet-warning-scada-attacks

Bài được đưa lênInternet ngày: 12/05/2011

Lờingười dịch: Lạiphát hiện được một lỗi trong 2 hệ thống SCADAIconics được biết tới như là Genesis32 and BizViz mà “Khaithác chỗ bị tổn thương này đòi hỏi một người sửdụng với kiểm soát ActiveX được cài đặt để viếngthăm một trang có chứa JavaScript được đặc biệt làmgiả... Bằng việc vượt qua một chuỗi đặc biệt đượclàm giả đối với phương pháp 'SetActiveXGUID', có khảnăng làm tràn bộ nhớ tĩnh và chạy các mã nguồn tùy ýtrên máy của người sử dụng với các quyền ưu tiêncủa người sử dụng đã đăng nhập vào rồi”. Khaithác này có thể cho phép những tin tặc chiếm quyền cáchệ thống kiểm soát SCADA.

Các chuyên gia ĐộiPhản ứng Khẩn cấp Không gian mạng các Hệ thống Kiểmsoát Công nghiệp của Mỹ (ICS-CERT) đang cảnh báo các độian ninh trong các nhà máy công nghiệp về khai thác có sẵnmột cách công khai khác mà nó có thể cho phép những tintặc chiếm quyền các hệ thống kiểm soát SCADA.

Trong một cảnh báohôm thứ tư, tổ chức của chính phủ Mỹ này đã thamchiếu nghiên cứu từ hãng kiểm toán Security-Assessment.commà hãng này đã nhấn mạnh tới một lỗi trong 2 hệthống SCADA Iconics được biết tới như là Genesis32 andBizViz.

“Khai thác chỗ bịtổn thương này đòi hỏi một người sử dụng với kiểmsoát ActiveX được cài đặt để viếng thăm một trang cóchứa JavaScript được đặc biệt làm giả. Những ngườisử dụng thường có thể bị nhử để viếng thăm cáctrang web thông qua thư điện tử, các thông điệp tứcthời hoặc các liên kết trên Internet”, sự tư vấn banđầu giải thích.

“Bằng việc vượtqua một chuỗi đặc biệt được làm giả đối vớiphương pháp 'SetActiveXGUID', có khả năng làm tràn bộ nhớtĩnh và chạy các mã nguồn tùy ý trên máy của ngườisử dụng với các quyền ưu tiên của người sử dụngđã đăng nhập vào rồi”.

Genesis32 được triểnkhai chủ yếu khắp Mỹ và châu Âu trong các khu vực baogồm sản xuất, dầu và khí, nước và chất thải và cáctiện ích về điện, theo ICS-CERT.

Iconics bây giờ đãđưa ra một bản vá, WebHMI V9.21, và lên kế hoạch đểgiải quyết lỗi này trong phiên bản cập nhật 9.22 củamình về Genesis32 và BizViz, dù điều này sẽ không có chotới tháng 6.

Trong khi chờ đợi,ICS-CERT đã khuyến cáo những người sử dụng tại cáccông ty chạy các hệ thống bị ảnh hưởng sẽ là kháckhau khi nháy vào các đường liên kết web hoặc mở cácđính kèm không được yêu cầu trong các thư điện tử.Các lãnh đạo IT trong các cơ sở như vậy cũng nên tốithiểu hóa sự hé lộ mạng đối với tất cả các thiếtbị của hệ thống kiểm soát.

“Định vị các mạngcủa hệ thống kiểm soát và các thiết bị từ xa đằngsau các tường lửa và cô lập chúng khỏi mạng doanhnghiệp”, ICS-CERT đã bắt đầu trong khuyến cáo. “Khitruy cập từ xa được yêu cầu, hãy sử dụng các phươngpháp an ninh như các mạng riêng ảo”.

Sự để lộ lỗikhác trong các hệ thống SCADA sẽ ít gây ngạc nhiên trongnền công nghiệp này. Đã từng có một dòng đều đặncác phát hiện tương tự luôn luôn kể từ khi sâu Stuxnetđã thể hiện tác động bi thảm tiềm tàng của mộtcuộc tấn công bằng phần mềm độc hại được làm giảtốt vào các hệ thống công nghiệp.

Expertsat the US Industrial Control Systems Cyber Emergency Response Team(ICS-CERT) are warning security teams in industrial plants of yetanother publicly available exploit which could allow hackers to takeover Scada control systems.

Inan alerton Wednesday (PDF), the US government organisation referencedresearchf-rom audit firm Security-Assessment.com (PDF) which highlightedthe flaw in two Iconics Scada systems known as Genesis32 and BizViz.

"Exploitationof this vulnerability requires a user with the ActiveX controlinstalled to visit a page containing specially crafted JavaScript.Users can generally be lured to visit web pages via email, instantmessage or links on the internet," explained the originaladvisory.

"Bypassing a specially crafted string to the 'SetActiveXGUID' method, itis possible to overflow a static buffer and execute arbitrary code onthe user's machine with the privileges of the logged on user."

Genesis32is deployed mainly across the US and Europe in sectors includingmanufacturing, oil and gas, water and sewage and electric utilities,according to ICS-CERT.

Iconicshas now issued a patch, WebHMIV9.21, and plans to address the flaw in its version 9.22 up-dateof Genesis32 and BizViz, although this will not be until June.

Inthe meantime, ICS-CERT recommended users at companies running theaffected systems to be wary of clicking web links or openingunsolicited attachments in emails. IT managers in such facilitiesshould also minimise network exposure for all control system devices.

"Locatecontrol system networks and remote devices behind firewalls andisolate them f-rom the business network," ICS-CERT stated in theadvisory. "When remote access is required, use secure methodssuch as virtual private networks."

Therevelation of another flaw in Scada systems will surprise few in theindustry. There has been a steady streamof similar discoveries ever since the Stuxnetworm demonstrated the potentially dramatic effect of awell-crafted malware attack on industrial systems.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com