Об этом заявили специалисты Claroty на DefCon и продемонстрировали набор из 11 уязвимостей, делающих из ПЛК вектор атаки.

"Злой ПЛК" – это то, что исследователи Claroty считают новым вектором атаки, с помощью которого можно заразить вредоносным ПО рабочую станцию любого инженера, который работает с ПЛК . Специалисты компании доказали возможность атаки через ПЛК, продемонстрировав набор из 11 уязвимостей, обнаруженных в Ovarro TBOX, B&R (ABB) X20 System, Schneider Electric Modicon M340 и M580, GE MarkVIe, Rockwell Micro Control Systems, Emerson PACSystems и Xinje XDPPro.

Claroty создала "злой" ПЛК, используя эксплойт уязвимости ZipSlip против ПЛК от Emerson, Ovarro, B&R, GE и Xinje, переполнение кучи против Schneider и атаку десериализации против Rockwell.

По словам специалистов Claroty, есть два сценария атак, для которых могут подойти “злые” ПЛК:

  1. ПЛК – единственное средство, через которое можно попасть в системы защищенного объекта. Злоумышленник может дождаться, пока инженер подключится к ПЛК, после чего заразит его рабочую станцию. Чтобы ускорить процесс, хакер может привлечь внимание инженера к ПЛК, намеренно вызвав неисправность.

  2. Хакер использует несколько ПЛК, которые обслуживаются сторонними инженерами. Идея заключается в том, что инженер, подключившийся к одному ПЛК, может распространить вредоносный код по нескольким другим предприятиям.

ПЛК – единственное средство, через которое можно попасть в системы защищенного объекта. Злоумышленник может дождаться, пока инженер подключится к ПЛК, после чего заразит его рабочую станцию. Чтобы ускорить процесс, хакер может привлечь внимание инженера к ПЛК, намеренно вызвав неисправность.

Хакер использует несколько ПЛК, которые обслуживаются сторонними инженерами. Идея заключается в том, что инженер, подключившийся к одному ПЛК, может распространить вредоносный код по нескольким другим предприятиям.

Эксперты считают, что ПЛК нужно рассматривать не только как конечную цель хакеров, но и как вектор атаки. По их мнению, такие идеи помогут найти новые способы защиты и атаки на сети предприятий.

Источник: securitylab