Атаки на «ханипоты» раскрыли 4 0Day-уязвимости в промышленных системах

Ученые из Кембриджского университета и ИБ-компании Industrial Defenica провели интересный эксперимент с целью изучить угрозы, к которым потенциально уязвимы промышленные системы управления, используемые для управления оборудованием в различных сферах — от химических процессов до выработки энергии и систем автоматизации зданий.

Для связи многие промышленные системы управления используют как старые коммуникационные протоколы, так и IP-сети, включая интернет, что создает риски безопасности. Кроме того, уязвимости в таких системах часто остаются неисправленными, к тому же, только некоторые промышленные протоколы используют авторизацию или шифрование.

В рамках исследования специалисты развернули сеть из 120 так называемых ханипотов — ловушек, замаскированных под программируемые логические контроллеры и удаленные терминалы, в 22 странах мира. За 13 месяцев эксперимента исследователи зафиксировали 80 тыс. атак на ханипоты (в основном случаи сканирования через системы Censys или Shodan) и 9 попыток эксплуатации промышленных протоколов (атаки исходили из США, России, Украины, Вьетнама, Китая и с Сейшельских островов), включая 4 попытки использования ранее неизвестных уязвимостей. В одной из этих атак применялся ранее опубликованный PoC-эксплоит. Всю информацию об эксплуатируемых уязвимостях исследователи передали производителям устройств.

Чаще всего специалисты фиксировали DoS-атаки и command-replay атаки. Как пояснил один из авторов эксперимента Майкл Додсон (Michael Dodson), в реальной ситуации DoS-атака могла бы полностью вывести из строя целевое устройство либо нарушить возможность коммуникации по сети.

«Если вы сможете повторно воспроизвести команды, позволяющие изменить состояние или осуществлять запись в регистры, то получите полный контроль над поведением устройства и, соответственно, частью процесса, которым он управляет», — добавил Додсон.

Источник: https://www.securitylab.ru/news/509360.php