В 2020 году эксперты Kaspersky ICS CERT обнаружили девять уязвимостей в платформе ISaGRAF Runtime, которая используется в качестве фреймворка для автоматизации во многих продуктах в разных отраслях по всему миру. Помимо систем промышленной автоматизации эта платформа используется в транспортной, энергетической отраслях и других секторах. Уязвимости были исправлены производителем платформы — компанией Rockwell Automation — в начале 2022 года. В отчете «Лаборатории Касперского» дан обзор фреймворка ISaGRAF и описаны наиболее критичные из обнаруженных уязвимостей, а также возможные векторы атаки.

ISaGRAF — это технология для создания систем управления, её используют промышленные предприятия по всему миру. Платформу можно адаптировать под различные аппаратно-программные платформы разных вендоров.

Поскольку производителям нужно адаптировать фреймворк ISaGRAF под свои продукты, обеспечение безопасности пользователей этих продуктов становится непростой задачей. В случае обнаружения уязвимостей пользователям приходится ждать исправлений и соответствующих рекомендаций сначала от Rockwell Automation, а затем от одного или даже нескольких вендоров. Процесс усложняется ещё и тем, что исправления возможно устанавливать только в специально отведённые периоды времени (технологические окна).

Некоторые из уязвимостей, обнаруженных экспертами Kaspersky ICS CERT, могут эксплуатироваться удалённо. Конечная цель атакующих — выйти из ограниченной среды ISaGRAF и получить полный контроль над устройством. Исследование показало, что злоумышленники могут проникать в систему через протокол ISaGRAF eXchange Layer (IXL), используемый для передачи данных. Компания Rockwell Automation опубликовала бюллетень безопасности и выпустила обновление, исправляющее часть уязвимостей, а также предложила меры по минимизации последствий тех уязвимостей, для которых исправлений пока нет.

«Среда ISaGRAF Runtime — важнейший инструмент автоматизации, применяемый в разных отраслях по всему миру, включая ключевые для той или иной страны. Эксперты „Лаборатории Касперского“ обнаружили несколько уязвимостей, которые могут оказать серьёзное воздействие на систему и её функциональность. Некоторые вендоры уже выпустили исправления, закрывающие обнаруженные уязвимости, но мы подчёркиваем в своем отчёте, что эти уязвимости в сторонних компонентах могут стать причиной очень серьёзных проблем. Мы хотим ещё раз привлечь внимание вендоров к опубликованному Rockwell Automation бюллетеню безопасности и важности следования его рекомендациям», — отметил Евгений Гончаров, руководитель Kaspersky ICS CERT.

Для защиты компьютеров АСУ от киберугроз эксперты «Лаборатории Касперского» рекомендуют:

  • регулярно обновлять операционные системы и приложения, которые являются частью инфраструктуры промышленной сети, и устанавливать патчи сразу, как только они выходят;
  • регулярно проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
  • использовать решения для мониторинга сетевого трафика АСУ ТП, анализа и детектирования киберугроз для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
  • проводить тренинги для ИБ-специалистов и ОТ-инженеров для улучшения качества реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
  • предоставлять специалистам, ответственным за защиту АСУ ТП, современные средства аналитики киберугроз. Сервис ICS Threat Intelligence Reporting аккумулирует данные о текущих киберугрозах и векторах атак, а также о наиболее уязвимых элементах в ОТ и АСУ ТП и о том, как защитить их;
  • использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity, чтобы обеспечить всестороннюю защиту всех критически важных промышленных систем;
  • защищать IT-инфраструктуру, например, с помощью решения Kaspersky Security для бизнеса, которое обеспечивает безопасность конечных устройств на предприятии и позволяет автоматически детектировать угрозы и реагировать на них.