Специалисты Национального киберполигона сообщили об уязвимостях в промышленном оборудовании MOXA

Мировой вендор промышленного оборудования MOXA устранил ряд уязвимостей в своих продуктах и программном обеспечении, обнаруженных Константином Кондратьевым, Ильей Карповым и Евгением Дружининым – исследователями отдела исследований кибербезопасности и разработки сценариев Национального киберполигона компании «Ростелеком-Солар». В случае эксплуатации этих уязвимостей злоумышленники могли получить доступ к промышленным сетям и спровоцировать аварийную ситуацию на производстве.

Компания MOXA выпускает комплексные технические решения для энергетической, нефтегазовой и горнодобывающей отраслей, для интеллектуальных систем железнодорожного, морского и наземного транспорта. Вендор представлен более чем в 70 странах, включая Россию.

Часть выявленных уязвимостей относится к Ethernet-модулям удаленного ввода/вывода серии ioLogik E2200 с версией прошивки 3.13 или ниже. Они связаны с такими ошибками, как неправильная аутентификация (CWE-285), использование аутентификации на стороне клиента (CWE-603), неправильный контроль доступа (CWE-284), переполнение буфера на основе стека (CWE-121), использование жестко заданного пароля (CWE-259) и буферное копирование без проверки размера входных данных (CWE-120). Уязвимости позволяли потенциальному злоумышленнику обойти авторизацию и аутентификацию, инициировать DoS-атаку и выполнить произвольный код на устройстве.

Кроме того, эксперты «Ростелеком-Солар» обнаружили уязвимости в утилите ioAdmin, которая предназначена для настройки Ethernet-модулей серии ioLogik E2200, версии 3.19 или ниже. Среди них слабые требования к паролю (CWE-521) и недостаточное ограничение попыток аутентификации (CWE-307), что позволяло злоумышленнику подобрать пароль с помощью брутфорса, а также хранение конфиденциальной информации в открытом виде в памяти (CWE-316). Последняя уязвимость позволяла потенциальному нарушителю с помощью вредоносного ПО получить доступ к конфиденциальным данным, хранящимся в памяти устройства.

Также были выявлены уязвимости в конвертерах интерфейсов серии NPort IAW5000A-I / O с версией прошивки 1.2 или ниже. Они касаются жесткого кодирования криптографических ключей (CWE-321), раскрытия конфиденциальной информации неавторизованному пользователю (CWE-200) и использования платформенно-зависимых сторонних компонентов (CWE-1103). Эксплуатация этих уязвимостей могла привести к тому, что злоумышленник получит доступ к системе с помощью жестко заданного пароля, а также зашифрует конфиденциальные данные.

Исследователи передали информацию обо всех найденных уязвимостях вендору, после чего MOXA выпустила соответствующие обновления безопасности. Чтобы устранить уязвимости в Ethernet-модулях серии ioLogik E2200 и утилите ioAdmin, нужно связаться с технической поддержкой вендора. Для решения проблемы с конвертером интерфейсов серии NPort IAW5000A-I / O необходимо обновить прошивку до версии 2.2.

«Мы уже не первый год взаимодействуем с компанией MOXA, одним из мировых лидеров в сегменте Industrial Ethernet, – рассказывает Андрей Кузнецов, руководитель отдела исследований кибербезопасности и разработки сценариев Национального киберполигона компании «Ростелеком-Солар». – Благодаря такому сотрудничеству вендор оперативно получает информацию о найденных в его продуктах уязвимостях и может своевременно их устранить. Мы же расширяем свои знания о потенциальных векторах атак на промышленное оборудование, что повышает эффективность тренировок и учений на Национальном киберполигоне. А учитывая, что оборудование MOXA широко используется и в России, совместная работа по устранению уязвимостей позволяет повысить защищенность отечественной промышленности».

Информация о выявленных уязвимостях опубликована в Банке данных угроз безопасности информации ФСТЭК России (БДУ:2021-05548 – БДУ:2021-05561).