Một khai thác ngày số 0 khác đối với các hệ thống SCADA

Anotherzero-day exploit for SCADA systems

25March 2011, 13:17

Theo:http://www.h-online.com/security/news/item/Another-zero-day-exploit-for-SCADA-systems-1215450.html

Bàiđược đưa lên Internet ngày: 25/03/2011

Lờingười dịch: “Hiện tại, ngày một gia tăng số lượngcác báo cáo về những lỗi trong các phần mềm dành chocác hệ thông Kiểm soát Giám sát và Thu nạp Dữ liệuSCADA (Supervisory Control And Data Acquisition) để sử dụngtrong các cơ sở công nghiệp. Hãng ICS-CERT của Mỹ, nơichuyên về các hệ thống kiểm soát, đã đưa ra báo cáovề một số lỗi trong các phần mềm SCADA. Bổ sung thêmvào 35 chỗ bị tổn thương và các khai thác ngày số 0trước đó mà đã được bàn luận tới vào đầu tuầnnày, một chỗ bị tổn thương khác và một khai thác ngàysố 0 khác bây giờ đã được phát hiện”. Vụ sâuStuxnet đánh vào tham vọng hạt nhân của Iran vào năm 2010thông qua các lỗi ngày số 0 trong hệ điều hành Windowsvà các hệ thống SCADA của Siemens đã làm cảnh tỉnh cảthế giới và những biện pháp thắt chặt an ninh trong cácphần mềm điều khiển được sử dụng trong các hạtầng công nghiệp mang tính sống còn trở nên cấp báchhơn bao giờ hết.

Hiệntại, ngày một gia tăng số lượng các báo cáo về nhữnglỗi trong các phần mềm dành cho các hệ thông Kiểm soátGiám sát và Thu nạp Dữ liệu SCADA (Supervisory Control AndData Acquisition) để sử dụng trong các cơ sở công nghiệp.Hãng ICS-CERT của Mỹ, nơi chuyên về các hệ thống kiểmsoát, đã đưa ra báo cáo về một số lỗi trong các phầnmềm SCADA. Bổ sung thêm vào 35 chỗ bị tổn thương vàcác khai thác ngày số 0 trước đó mà đã được bànluận tới vào đầu tuần này, một chỗ bị tổn thươngkhác và một khai thác ngày số 0 khác bây giờ đã đượcphát hiện.

Chuyêngia an ninh Ruben Santamarta đã xuất bản mã nguồn trình bàymột lỗ trong phần mềm ảo hóa dựa vào web có tênWebAccess từ BroadWin. Mã nguồn này liên tục cho phép mộtlỗi trong giao diện RPC của Dịch vụ mạng WebAccess sẽđược khai thác cho phép mã nguồn này thâm nhập được.Santamarta nói ông đã thông báo cho ICS-CERT trước đó, vàhãng này đã liên hệ với nhà cung cấp.

ICS-CERTnói rằng nhà cung cấp đã không có khả năng khẳng địnhlỗi này. Santamarta sau đó đã viết rằng nhà cung cấp đãtừ chối sự hiện diện của lỗi này, nên ông đã xuấtbản khai thác này. Về bản vá, ICS-CERT khuyến cáo rằngnhững người sử dụng BroadWin bảo vệ các hệ thốngcủa họ bằng một tường lửa và sử dụng các mạngriêng ảo VPN cho việc truy cập từ xa. Phần mềm củaBroadWin được sử dụng khắp thế giới và nó cũng đượcbán từ Advantech.

Hơnnữa, ICS-CERT nói nó đã thấy một chỗ bị tổn thươngchâm SQL trong phần mềm IntegraXor từ nhà cung cấp Ecavacủa Malaysia. Hãng này nói rằng những kẻ tấn công cóthể khai thác lỗi này để điều khiển cơ sở dữ liệuvà chạy các mã theo ý muốn. Theo ICS-CERT, phần mềm nàyđược sử dụng tại 38 quốc gia, bao gồm Mỹ, Úc, Anh,Balan và Canada. Tất cả các phiên bản trước 3.60 (xây4032) bị ảnh hưởng; một cập nhật được xây 4050 đểsửa vấn đề này. Nhà cung cấp cũng đã đưa ra bản xây4042, nhưng nó không hoàn toàn giải quyết được vấn đềnày. Cập nhật: Nhà cung cấp nói rằng bản xây 4042 làmột phiên bản ứng viên cho phiên bản sửa mà nó đãđược gửi cho ICS - CERT để kiểm tra; bản xây 4050 làphiên bản chính thức để tải về công khai.

Atpresent, there is a growing number of reports about flaws in softwarefor Supervisory Control And Data Acquisition (SCADA) systems forindustrial facilities. US firm ICS-CERT, which specialises in controlsystems, has already reporteda number of flaws in SCADA software. In addition to the 35 formervulnerabilities and zero-day exploits discussedat the beginning of the week, another vulnerability and yet anotherzero-day exploit have now popped up.

Securityspecialist Ruben Santamarta has publishedcode demonstrating a flaw in the web-based virtualisation softwareWebAccess f-rom BroadWin. The code reportedly allows a flaw inWebAccess Network Service's RPC interface to be exploited allowingcode to be injected. Santamarta says he informed ICS-CERT in advance,and the firm contacted the vendor.

ICS-CERTsaid that the vendor was not able to confirm the flaw. Santamartalater wrote that the vendor denied the flaw's existence, so hepublished the exploit. In lieu of a patch, ICS-CERT recommendsthat BroadWin users protect their systems with a firewall and useVPNs for remote access. BroadWinsoftware is used around the world and is also sold by Advantech.

Inaddition, ICS-CERT says it has found a SQL injection vulnerability inthe IntegraXor software f-rom Malaysian vendor Ecava. The firm saysthat attackers can exploit the flaw to manipulate the database andexecute arbitrary code. According to ICS-CERT, the software is usedin 38 countries, including the US, Australia, the UK, Poland, andCanada. All versions before 3.60 (build 4032) are affected; an up-dateto build 4050 remedies the problem. Thevendor has also released build 4042, but it does notcompletely solve the problem.Up-date: The vendor says that build 4042 was a release candidate forthe fixed version which was sent to ICS CERT for verification; build4050 is the official release for public download.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com