Phoenix Contact FL Switch Промышленные коммутаторы

Продукт
Разработчики: Phoenix Contact GmbH
Дата последнего релиза: 2019/02/12
Отрасли: Газовая промышленность,  Нефтяная промышленность,  Энергетика
Технологии: СКС

Содержание

Промышленные коммутаторы FL Switch производства Phoenix Contact используются для построения сетей в нефтегазовой, морской, энергетической сферах и в других инфраструктурных и производственных отраслях.

2019: Уязвимости в промышленных коммутаторах FL SWITCH 3xxx, 4xxx и 48xx с версиями прошивки ниже 1.35

12 февраля 2019 года компания Positive Technologies сообщила, что её эксперты Евгений Дружинин, Илья Карпов и Георгий Зайцев выявили уязвимости высокого уровня риска в промышленных коммутаторах Phoenix Contact.

«
«Успешное использование этих недостатков может привести к нарушению технологического процесса, вплоть до его полной остановки. Злоумышленник может перехватить учетные данные пользователя, а затем, перенастроив коммутатор, отключить на нем порты, в результате чего может нарушиться сетевое взаимодействие между компонентами АСУ ТП. Уязвимы сразу несколько серий коммутаторов — FL SWITCH 3xxx, 4xxx и 48xx с версиями прошивки ниже 1.35».

Владимир Назаров, руководитель отдела безопасности промышленных систем управления Positive Technologies
»

Как сообщили в Positive Technologies, наиболее опасная проблема (CVE-2018-13993, оценка 8,8 по CVSS 3) позволяет атакующим осуществить межсайтовую подмену запроса для выполнения произвольных команд в веб-интерфейсе коммутатора от лица легитимного пользователя.

Другая серьезная уязвимость (CVE-2018-13990, оценка 8,6) связана с отсутствием у коммутаторов функции тайм-аута входа в систему, которая необходима для предотвращения автоматического подбора имени пользователя и пароля. Злоумышленник может получить доступ к устройству путем перебора паролей по словарям. Атакующий также может перехватить учетные данные пользователя, которые передаются в открытом виде при заводских настройках веб-интерфейса (CVE-2018-13992, оценка 8,2).

Кроме того, злоумышленник может провести атаку типа «отказ в обслуживании», создав чрезмерное количество подключений к веб-интерфейсу (CVE-2018-13994, оценка 7,5) или использовав ошибки буфера в существующей библиотеке безопасности коммутатора (CVE-2017-3735, оценка 5,3), а также извлечь закрытые ключи по умолчанию из образа его прошивки, что в случае проведения атаки типа «человек посередине» может позволить получить доступ к передаваемой информации (CVE-2018-13991, оценка 5,3).

В Positive Technologies подчеркнули, что пользователям уязвимых версий устройств FL SWITCH необходимо обновить прошивку до версии 1.35 или выше. Обновленную прошивку можно загрузить на сайте Phoenix Contact.

2018

Четыре уязвимости в промышленных коммутаторах серии FL SWITCH

19 июня 2018 года немецкий электротехнический концерн Phoenix Contact опубликовал информацию о наличии четырех уязвимостей в промышленных коммутаторах серии FL SWITCH. Устройства используются для выполнения задач автоматизации на цифровых подстанциях, в нефтегазовой, морской и других отраслях.

FL SWITCH 3006T-2FX SM
FL SWITCH 3006T-2FX SM

Уязвимости были обнаружены экспертами Positive Technologies Вячеславом Москвиным, Семеном Соколовым, Евгением Дружининым, Ильей Карповым и Георгием Зайцевым.

Наибольшую опасность представляет уязвимость CVE-2018-10730 (оценка 9,1 по шкале CVSS). Она позволяет злоумышленнику выполнить произвольные команды на устройстве и, например, отключить от промышленной сети все устройства, нарушив технологический процесс промышленного объекта.

Вторая опасная уязвимость (CVE-2018-10731), получившая оценку 9,0, связана с угрозой переполнения буфера и может быть использована для получения несанкционированного доступа к файлам операционной системы устройства и выполнения произвольного кода. Также проблема переполнения буфера относится и к уязвимости CVE-2018-10728 (оценка 8,1). Нарушитель может использовать ее для атак на отказ в обслуживании, выполнения произвольного кода, отключения служб Web и Telnet.

Четвертая уязвимость CVE-2018-10729 (оценка 5,3) позволяет злоумышленнику, не прошедшему аутентификацию, прочитать содержимое конфигурационного файла устройства.

Недостатки выявлены в коммутаторах FL SWITCH 3xxx, 4xxx и 48xxx, функционирующих на программном обеспечении версий 1.0–1.33. Для устранения уязвимостей производитель рекомендует установить прошивку версии 1.34.

«
«Продолжается основной тренд минувшего года — мы видим все больше уведомлений о уязвимостях в промышленном сетевом оборудовании. Информируя о найденных и устраненных уязвимостях, производители сетевого оборудования, такого как коммутаторы, конвертеры интерфейсов, показывают себя как ответственные вендоры. С другой стороны, на производстве не всегда успевают обновить это ПО и часто рассчитывают на так называемый воздушный зазор. Однако 82% исследованных технологических сетей недостаточно защищены от проникновения из корпоративного сегмента. В таких случаях атакующий может попасть в корпоративную сеть, используя общедоступные хакерские инструменты или фишинг, далее проникнуть в технологический сегмент сети и эксплуатировать уязвимости различного оборудования, например коммутаторов Phoenix Contact».
Владимир Назаров, руководитель отдела безопасности промышленных систем управления Positive Technologies
»

Для обнаружения киберинцидентов и уязвимостей в АСУ ТП (SCADA) компания Positive Technologies предлагает продукты PT ISIM и MaxPatrol 8, учитывающие особенности промышленных протоколов.

Критические уязвимости в FL Switch 3xxx, 4xxx и 48xxx

Эксперты Positive Technologies Илья Карпов и Евгений Дружинин выявили критически опасные уязвимости в промышленных коммутаторах Phoenix Contact. По словам экспертов, эксплуатация недостатков не требует высокой квалификации и может выполняться удаленно.

Так, уязвимость CVE-2017-16743 с оценкой 9,8 баллов по шкале CVSSv3 дает атакующему возможность обойти аутентификацию на веб-сервисе устройства посредством специальных HTTP-запросов и получить административный доступ к коммутатору. Вторая уязвимость CVE-2017-16741 (5,3 балла) позволяет удаленному неаутентифицированному злоумышленнику использовать режим мониторинга на устройстве для считывания избыточной и диагностической информации.

Влиянию этих уязвимостей подвержены продукты FL Switch 3xxx, 4xxx и 48xxx, работающие с программным обеспечением версий 1.0–1.32. Для устранения недостатков производитель рекомендует установить прошивку 1.33.

«
Если злоумышленники получат контроль над уязвимыми устройствами, это может привести к различным инцидентам, вплоть до нарушения стабильной работы производства, — пояснил руководитель отдела исследований и аудита промышленных систем управления Positive Technologies Илья Карпов. — Для минимизации риска необходимо в обязательном порядке установить обновленное ПО на коммутаторы и следовать рекомендациям ICS-CERT.
»



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

  Cisco Systems (17, 15)
  МаксимаТелеком (1, 10)
  Энфорта (Престиж-интернет) (2, 7)
  Allied Telesis International (7, 6)
  T8 НТЦ (3, 5)
  Другие (187, 44)

  Cisco Systems (3, 4)
  МаксимаТелеком (1, 2)
  Zelax (Зелакс) (1, 1)
  Westermo (1, 1)
  Qualcomm (1, 1)
  Другие (2, 2)

  Cisco Systems (2, 3)
  Aruba Networks (2, 2)
  2Test (Алькор-Коммьюникейшин) (2, 2)
  T8 НТЦ (1, 2)
  Eurolan (1, 1)
  Другие (5, 5)

  Cisco Systems (2, 3)
  МаксимаТелеком (1, 1)
  Red Hat (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год