В прошлом году группой исследователей из немецких университетов Hochschule Augsburg и Freie Universität Berlin была опубликована статья под названием «пока Вы дремлете, вы проиграете: измерение времени цикла ПЛК под атаками». Агентство ICS-CERT в Соединенных Штатах на этой неделе опубликовало рекомендации, показывающие, что каждый пострадавший продавец сказал или сделал в ответ на изъян.

Брешь в безопасности, обозначаемая как CVE-2019-10953, была классифицирована как «высокая серьезность» (оценка CVSS 7,5) - профессионалы в области промышленной кибербезопасности часто предупреждают, что DoS-атаки оказывают гораздо более сильное воздействие в случае промышленных систем по сравнению с IT системы.

ПЛК уязвим для DoS-атаки. Атака нацелена на время цикла ПЛК. ПЛК работает в четырех фазах цикла: он считывает входные данные (например, датчики), выполняет свою программу, выполняет задачи диагностики и связи и записывает выходные данные. Время, необходимое для выполнения этого цикла, называется временем цикла, которое обычно составляет от 1 до 10 миллисекунд.

Исследователи продемонстрировали, что специально созданный сетевой трафик, предназначенный для ПЛК, может влиять на эту синхронизацию, что может привести к сбоям в реальном физическом процессе, контролируемом ПЛК.

«ПЛК реагируют совершенно по-разному, некоторые полностью прекратили обновление своих выходов, другие замедлили работу», - сказал Маттиас Нидермайер, один из исследователей Hochschule Augsburg, участвующих в этом проекте.

Другие исследователи ранее предположили, что сетевой трафик может влиять на процессы, контролируемые промышленными системами управления (ICS), и эксперименты, проведенные экспертами Hochschule Augsburg и Freie Universität Berlin на 16 устройствах от шести поставщиков, продемонстрировали его работу на практике. Они отметили, что атаки проводились - насколько это возможно - против ПЛК, работающих с конфигурациями по умолчанию.

Атака может быть запущена либо из Интернета (если целевое устройство открыто для Интернета), либо из скомпрометированного устройства в той же сети, что и целевой ПЛК (включая другой ПЛК). Эксперты отметили, что злоумышленнику не нужно иметь конкретные знания о реальном процессе, контролируемом ПЛК или выполняемой на нем программой.

Этот тип DoS-атаки интересен тем, что, хотя он нацелен на сетевую сторону ПЛК, он фактически нацелен на электрическую сторону (т.е. На процесс, управляемый ПЛК), а не на сетевое подключение.

Похоже, что только одно из протестированных устройств не было уязвимо для атак при переполнении сети. Однако только один поставщик выпустил настоящие патчи.

Поставщики, чья продукция была протестирована, это ABB, Phoenix Contact, Schneider Electric, Siemens и WAGO. Согласно ICS-CERT, только Schneider Electric выпустила патчи для своих продуктов Modicon M221 и EcoStruxure Machine Expert. ABB сказала, что атаки были возможны из-за того, что ее продукт во время атаки остался в конфигурации по умолчанию, а Phoenix Contact сказал, что его новые продукты не пострадали; компания не выпускает исправления для более старых продуктов и рекомендует клиентам принять меры по снижению риска.

Компания Siemens заявила, что это не является уязвимостью в ее продуктах, а WAGO заявила, что это известная проблема для некоторых устройств и рекомендованные меры по ее устранению.

«Поскольку почти все производители так или иначе затронуты, было трудно найти хорошее решение здесь, и, таким образом, процесс занял много времени», - пояснил Нидермайер. «Лично я считаю, что эта тема требует дальнейшего изучения со стороны производителя, поскольку существует обратная связь от сетевого трафика к реальному физическому процессу. Мы, как исследователи, имеем всего несколько устройств и не можем исследовать огромное количество ПЛК».