Агентство кибербезопасности и инфраструктурной безопасности США (CISA) внесло новую уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Решение основано на обнаруженных свидетельствах её активного использования злоумышленниками в реальных атаках. Объектом внимания стал недостаток CVE-2021-26828 в SCADA-системе с открытым исходным кодом OpenPLC ScadaBR. CISA подчёркивает, что подобные уязвимости являются частым вектором атак для вредоносных (malicious) киберпреступников и несут существенные риски, особенно для государственных организаций.
Детали уязвимости
Уязвимость CVE-2021-26828 классифицируется как неограниченная загрузка файлов опасного типа (Unrestricted Upload of File with Dangerous Type). Она затрагивает OpenPLC ScadaBR версий до 0.9.1 включительно на Linux и до 1.12.4 на Windows. Её эксплуатация позволяет удалённому аутентифицированному пользователю загружать и выполнять произвольные JSP-файлы через компонент "view_edit.shtm". Фактически, злоумышленник, имеющий учётные данные для входа в систему, может загрузить на сервер вредоносный веб-шелл, что даёт ему возможность выполнять команды и устанавливать постоянное присутствие в системе.
SCADA-системы, к которым относится ScadaBR, играют критическую роль в управлении промышленными процессами и объектами критической инфраструктуры. Они контролируют работу энергосетей, систем водоснабжения, производственных линий и других важных активов. Следовательно, компрометация такой системы открывает путь к потенциально катастрофическим последствиям, включая физический ущерб и длительные простои. Уязвимости, позволяющие выполнять произвольный код, особенно опасны в этом контексте, так как могут стать первым шагом для более сложных атак, например, с использованием шифровальщиков или целенаправленного саботажа.
Включение CVE-2021-26828 в каталог KEV - это формальный призыв CISA к федеральным ведомствам США срочно устранить данную проблему. Согласно обязательной директиве, все государственные организации должны закрыть такие уязвимости в строго установленные сроки. Хотя требование формально адресовано американским агентствам, каталог KEV служит важным ориентиром для всех организаций по всему миру. Он фактически указывает на недостатки, которые в данный момент активно используются продвинутыми группами, включая группы, связанные с государственными интересами (APT).
С технической точки зрения, эксплуатация этой уязвимости требует от атакующего наличия учётной записи в системе ScadaBR. Однако это не делает угрозу менее серьёзной. Во-первых, злоумышленники могут получить доступ через украденные или слабые учётные данные. Во-вторых, атака может быть частью многоэтапного сценария, где сначала происходит фишинг или эксплуатация другой уязвимости для кражи паролей. После загрузки вредоносной полезной нагрузки (payload) в виде JSP-файла злоумышленник получает контроль над сервером на уровне веб-приложения, что является мощным плацдармом для дальнейшего продвижения вглубь сети.
История показывает, что уязвимости в SCADA-программном обеспечении привлекают повышенное внимание как киберпреступников, так и государственных хакеров. Промышленные системы долгое время работали в изолированных сетях, но растущая конвергенция IT и OT-сетей сделала их более доступными для удалённых атак. Поэтому сообщество специалистов по операционным технологиям должно рассматривать подобные предупреждения как сигнал высшего приоритета.
На данный момент для устранения уязвимости CVE-2021-26828 пользователям OpenPLC ScadaBR рекомендуется немедленно обновить систему до версий, выпущенных после исправления данной проблемы. Если быстрое обновление невозможно, следует рассмотреть дополнительные меры защиты. К ним относятся жёсткое ограничение доступа к веб-интерфейсу SCADA-системы с помощью сетевых экранов, обязательное использование сложных паролей и многофакторной аутентификации, а также постоянный мониторинг сетевой активности и целостности файлов на предмет признаков компрометации.
В конечном итоге, инцидент с CVE-2021-26828 служит очередным напоминанием о хрупкости систем, лежащих в основе современной инфраструктуры. Регулярное обновление программного обеспечения, сегментация сетей и принцип минимальных привилегий остаются краеугольными камнями защиты даже для специализированных промышленных решений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2021-26828
- http://forum.scadabr.com.br/t/report-falhas-de-seguranca-em-versoes-do-scadabr/3615/4
- http://packetstormsecurity.com/files/162564/ScadaBR-1.0-1.1CE-Linux-Shell-Upload.html
