===================================================================================
原文地址:http://ics-cert.us-cert.gov/advisories/ICSA-14-014-01
译文地址:http://www.ics-cert.com.cn/?p=150
译文地址:http://blog.csdn.net/icscert/article/details/18454013
译文作者:ICS-CERT
===================================================================================
Automatak的Adam Crain和独立研究者Chris Sistrunk发现了施耐德电气的SCADA软件ClearSCADA中的一个不可控的资源消耗漏洞。施耐德电气已经发布了新版本来修正这一漏洞。AdamCrain已经测试了新版本软件,确认已经修补了这一漏洞。这一漏洞可以被远程利用。
影响产品
如下版本的施耐德电气的软件将会受到影响。
- ClearSCADA 2010 R2 (Build 71.4165),
- ClearSCADA 2010 R2.1 (Build 71.4325),
- ClearSCADA 2010 R3 (Build 72.4560),
- ClearSCADA 2010 R3.1 (Build 72.4644),
- SCADA Expert ClearSCADA 2013 R1 (Build 73.4729),
- SCADA Expert ClearSCADA 2013 R1.1 (Build 73.4832),
- SCADA Expert ClearSCADA 2013 R1.1a (Build 73.4903),
- SCADA Expert ClearSCADA 2013 R1.2 (Build 73.4955).
影响范围
成功的利用此漏洞可能导致DNP3通信的拒绝服务(Dos)。特别构造的不请自来的帧,可能导致大量的事件记录。这种情况可能降低驱动的处理速度,从而最终导致DoS。
对于每个组织机构的影响取决于每个组织特有的多方面因素。NCCIC/ICS-CERT建议各组织机构基于自身的操作环境、架构和产品情况来评估这些漏洞产生的影响。
背景
施耐德电气是一家法国公司,遍布在世界上190多个国家和地区。对于施耐德电气来说,ClearSCADA部署在多个行业,包括能源、水处理、和污水处理系统。
漏洞特征
漏洞概述
不可控的资源消耗a
特殊的IP帧可能导致DNP3Driver.exe程序挂起。如果DNP3驱动被包含了多个错误的数据帧洪水般淹没时,就会有超量的信息被记入到日志中,从而导致了资源的不足,进而形成DoS攻击。这种情况不会导致数据损坏、不会使驱动崩溃、也不会允许任意代码执行,但是会影响操作响应。
本漏洞的漏洞编号为CVE-2013-6142b。CVSS v2的分数为4.3;CVSS向量字符串为(AV:N/AC:M/Au:N/C:N/I:N/A:P).c
漏洞详细信息
可利用性
漏洞可以被远程利用
Exp代码
没有发现针对此漏洞公开的攻击代码。
难度
具备中等技术水平的攻击者可以利用此漏洞。
解决办法
施耐德电气发布的最新版软件ClearSCADA 2013 R2已经修正了这一问题。使用ClearSCADA的用户应该联系当地的施耐德电气办公部门来获取最新版本的ClearSCADA。或者直接通过施耐德电气的网站上下载最新版的程序。为了升级,客户需要完成并提交一个在线的表格,在此位置:
http://telemetry.schneider-electric.com/id2/form/CMIform.html
关于如何升级ClearSCADAD的许可,可以在此找到:
http://resourcecenter.controlmicrosystems.com/display/CS/Updating+Your+ClearSCADA+License
关于如何安装ClearSCADA的升级包,详细说明在此:
施耐德电气建议所有使用ClearSCADA的用户采取措施来保证ClearSCADA系统的接口信息安全。当要建立一个具有一定安全级别的系统时,下面的准则作为保证安全的基础。
- 监控DNP3通信和系统事件日志来发现过量通信或过量的日志记录,这意味着可能存在一个模糊攻击。
- 升级ClearSCADA服务到SCADA Expert ClearSCADA 2013R2或者更新的版本,或者是2013年11月后发布的服务补丁。
施耐德电气也发布了安全注意SEVD-2013-3309-01。研究者建议阻止DNP3通信进入业务网络,或者公司网络通过采用入侵检测系统或者是防火墙来设置专用的DNP3规则来追加额外的保护层。
NCCIC/ICS-CERT鼓励所有者采取额外的措施来保护这些风险及其他的安全风险。
- 尽可能的少暴露控制系统设备或系统自身的网络,并确保他们不被互联网访问。
- 在本地控制系统网络和远程设备之间部署防火墙,并将控制网络与企业网络隔离。
- 如果需要远程访问,采用安全的方法,例如VPN,VPN被认为是唯一安全的访问方式。
NCCIC/ICS-CERT当然还提供了针对工业控制信息安全方面的建议在此路径下:
http://ics-cert.us-cert.gov/content/recommended-practices.很多建议是可以读的,并且可以下载,包括《采用纵深防御策略来提高工业控制系统信息安全》。NCCIC/ICS-CERT 建议各部门进行在部署安全防御时,先适当的进行安全分析和风险评估。
其他相关的解决方案指导和建议发布在了NCCIC/ICS-CERT的技术信息文章上,ICS-TIP-12-146-01Be,该文章可以在NCCIC/ICS-CERT的网站上下载。
各组织机构如果发现了一些有恶意嫌疑的程序,可以将其报告给NCCIC/ICS-CERT来跟踪和对应这些意外。
参考文档
- a.CWE-400: Uncontrolled Resource Consumption, http://cwe.mitre.org/data/definitions/400.html, Web site last accessed January 14, 2014.
- b.NVD, http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6142, NIST uses this advisory to create the CVE Web site report. This Web site will be active sometime after publication of this advisory.
- c.CVSS Calculator, http://nvd.nist.gov/cvss.cfm?version=2&vector=AV:N/AC:M/Au:N/C:N/I:N/A:P, Web site last accessed