Industrialcontrol: exploit to wake the sleeping Chinese dragon
11January 2011, 15:53
Bàiđược đưa lên Internet ngày: 11/01/2011
Lờingười dịch: Không phải chỉ có phần mềm SCADA củaSiemens cùng với 4 lỗi ngày số 0 trong Windows bị Stuxnetkhai thác để đẩy lùi tham vọng hạt nhân của Iran, màbây giờ các chuyên gia an ninh còn phát hiện “KingView,một ứng dụng cho việc ảo hóa xử lý dữ liệu trongcác hệ thống kiểm soát công nghiệp mà nó được cho làsẽ được sử dụng rộng rãi tại Trung Quốc, có mộtchỗ bị tổn thương sống còn” tương tự như trong vụStuxnet; Được biết “KingView thậm chí được sử dụngtrong các nền công nghiệp vũ trụ và quốc phòng củaTrung Quốc”. Một chuyên gia an ninh nói rằng “cơ quanứng cứu máy tính khẩn cấp của Trung Quốc CN-CERT cũngđã không phản ứng kịp, bất chấp cũng đã đượcthông báo về chỗ bị tổn thương này. Người nhận bứcthư của ông thậm chí còn không hiểu nó là gì”. Khôngrõ ở Việt Nam thì có KingView trong các nhà máy côngnghiệp hay không nhỉ???
KingView,một ứng dụng cho việc ảo hóa xử lý dữ liệu trongcác hệ thống kiểm soát công nghiệp mà nó được cho làsẽ được sử dụng rộng rãi tại Trung Quốc, có mộtchỗ bị tổn thương sống còn; điều này có thể bị sửdụng để làm tổn thương từ sa một hệ thống và mộtkhai thác bây giờ đã được công bố. Chỗ bị tổnthương này có những sự tương tự như Stuxnet, mà nócũng đã khai thác những chỗ bị tổn thương để thâmnhập vào các hệ thống SCADA.
TheoDilon Beresford, một chuyên gia an ninh tại Phòng thí nghiệmNSS, Wellin Tech, công ty đứng đằng sau KingView, đượcthông tin về vấn đề này vào tháng 09, nhưng đã chưa cótrả lời. Phần mềm bị tổn thương này vẫn có sẵnsàng để tải về (tải về trực tiếp). Các nhà cung cấpkhông có trách nhiệm là không phải không phổ biến,nhưng Beresford thể hiện sự ngạc nhiên đặc biệt rằngcơ quan ứng cứu máy tính khẩn cấp của Trung QuốcCN-CERT cũng đã không phản ứng kịp, bất chấp cũng đãđược thông báo về chỗ bị tổn thương này. Ngườinhận bức thư của ông thậm chí còn không hiểu nó làgì.
Beresfordnói rằng CN-CERT cũng không phản ứng về gì khi đượcliên hệ với cơ quan tương tự của Mỹ US-CERT. Theo thôngtin được cung cấp bởi các nhà phân phối, KingView thậmchí được sử dụng trong các nền công nghiệp vũ trụvà quốc phòng của Trung Quốc. Trên blog của mình,Beresford ngạc nhiên về những gì CN-CERN làm việc trongnhững ngày này. Để cố gắng đánh thức con rồng đangngủ, ông đã quyết định xuất bản một khai thác đốivới chỗ bị tổn thương này. Mã nguồn, được viếtbằng ngôn ngữ Python, kích hoạt một đống tràn bộ nhớvà sử dụng mã nguồn vỏ được châm để mở một vỏtrên cổng 4444.
KingView,an application for visualising process data in industrial controlsystems which is reported to be in widespread use in China, containsa critical vulnerability; this can be used to remotely compromise asystem and an exploit has now been published. The vulnerability hassimilarities to Stuxnet, which also exploited vulnerabilities topenetrate SCADA systems.
Accordingto Dillon Beresford, a security specialist at NSS Labs,WellinTech,the company behind KingView, was informed of the problem inSeptember, but has yet to respond. The vulnerable software is stillavailable to download(directdownload).Unresponsive vendors are not uncommon, but Beresford expressesparticular surprise that Chinese CERT (CN-CERT) has also failed toreact, despite having also been informed of the vulnerability.Receipt of his email has not even been acknowledged.
Beresfordreports that CN-CERT also failed to react on being contacted byUS-CERT. Accordingto information provided by distributors, KingView is even used inthe Chinese aerospace and national defence industries. On his blog,Beresford wonders aloud what CN-CERT does with its days. To try towake the sleeping dragon, he elected to publish an exploitfor the vulnerability. The code, written in Python, triggers a heapoverflow and uses injected shell code to open a shell on port 4444.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...