Эксплуатация уязвимости позволяет обойти существующие средства защиты в среде выполнения ПЛК, включая песочницу.

Специалисты ИБ-фирмы Claroty обнаружили опасную уязвимость в программируемых логических контроллерах Siemens SIMATIC S7-1200 и S7-1500, эксплуатация которой позволяет обойти изолированную программную среду ЦП для выполнения произвольного кода в защищенных областях памяти. Злоумышленник также может использовать уязвимость (CVE-2020-15782) для удаленного доступа к памяти с целью чтения и записи.

Целостность ПЛК имеет решающее значение для операторов и инженеров, и целью злоумышленника будет нарушение этой целостности путем сокрытия кода на контроллере и повышения привилегий. Эксплуатация уязвимости позволяет обойти существующие средства защиты в среде выполнения ПЛК, включая песочницу, в которой обычно выполняется инженерный код. Эксперты смогли совершить побег из песочницы, получить прямой доступ к памяти, а затем написать и внедрить shell-код для выполнения атаки на ПЛК Siemens 1200/1500.

Для осуществления атаки потребуется сетевой доступ к ПЛК. Кроме того, злоумышленнику потребуются права на загрузку ПЛК. Начиная с TIA Portal V12, Siemens предоставляет различные меры по снижению рисков для ограничения пользовательской сети и доступа для чтения/записи на ПЛК, особенно механизм защиты паролем.

Побег из песочницы позволяет злоумышленнику выполнять чтение и запись на ПЛК, а также исправлять существующий код операции виртуальной машины в памяти с помощью вредоносного кода для получения прав суперпользователя. Claroty смогла внедрить shell-код ARM/MIPS непосредственно во внутреннюю структуру операционной системы для получения возможности удаленного выполнения кода. Эксперты использовали этот метод для установки программы уровня ядра с некоторыми функциями, которые полностью скрыты для операционной системы.

Компания Siemens выпустила обновления для различных продуктов, включая S7-1500 и S7-1200, которые устраняют обнаруженную уязвимость. Пользователям настоятельно рекомендуется обновиться до последних версий.

Источник: securitylab