Tietoturva nyt!

19.7.2010

Siemens SIMATIC -tuotteiden tietoturvaheikkoutta käytetään hyväksi

Siemens SIMATIC WinCC- ja Step7 -ohjelmistojen tietoturvaheikkoutta käytetään hyväksi kohdistetuissa hyökkäyksissä. Hyökkäyksissä hyödynnetään myös Windows-käyttöjärjestelmän korjaamatonta haavoittuvuutta. Haittaohjelmasta on tuhansia havaintoja erityisesti Aasiassa.

Tietoturvatutkijat ovat löytäneet USB-massamuistilaitteiden avulla leviävän räätälöidyn haittaohjelman. Haittaohjelma hyödyntää LNK-päätteisten oikopolkutiedostojen käsittelyssä olevaa haavoittuvuutta. Räätälöidyn haittaohjelman tarkemmissa tutkimuksissa on löytynyt viitteitä Siemensin SIMATIC WinCC- ja SIMATIC Step 7 -teollisuusautomaatiojärjestelmiin. Kyseisiä ns. SCADA-järjestelmiä käytetään teollisusympäristöissä visualisoimaan ja ohjaamaan tehtaan tuotantoyksikön toimintaa. Esimerkiksi prosessiteollisuudessa SIMATIC-järjestelmään saattaa olla tallennettuna valmistettavan tuotteen kokoonpano ja valmistusresepti.

Räätälöity haittaohjelma pyrkii suorittamaan tietokantahakuja salasanalla suojattuun WinCC-taustajärjestelmään. CERT-FI:n saamien tietojen mukaan WinCC-järjestelmän kaikissa ohjelmistokokoonpanoissa on takaportiksi luonnehdittava tietoturvaa vaarantava konfiguraatiovirhe. Kyseinen virhe johtuu siitä, että tietokantayhteyden muodostuksessa käytetään oletusarvoista salasanaa. Salasana ei ole käyttäjän toimesta vaihdettavissa ilman että järjestelmän toimintavarmuus vaarantuisi. Ei-julkisena tietona pidetty salasana on ilmeisesti päätynyt julkisuuteen. Salasana on sama kaikissa asennetuissa WinCC-järjestelmissä. Siemens on ilmoittanut laativansa kyseisestä konfiguraatiovirheestä asiakkailleen tiedonannon. Kyseinen tiedonanto ei ole CERT-FI:n käytettävissä.

Räätälöidystä haittaohjelmasta on tehty havaintoja pääosin Aasiassa. Nämä ulkomailla tapahtuneet kohdistetut hyökkäyksen motiivit ovat epäselvät, mutta julkisuudessakin esitettyä teollisuusvakoiluepäilyjä ei voida sulkea pois. CERT-FI on ollut yhteydessä suomalaisiin huoltovarmuuskriittisiin toimijoihin asian tiimoilta.

Haittaohjelman tartunnan voi välttää päivittämällä virustorjuntaohjelmiston sormenjälkitunnisteet ja tarkistamalla kaikki tietokoneeseen liitettävät ulkoiset mediat. Teollisuusautomaatiojärjestelmän kytkeminen irti julkisesta verkosta ei ole riittävä suojauskeino, mikäli kyseisiin järjestelmiin tai niihin yhteydessä oleviin tietokoneisiin sallitaan ulkopuolisten massamuistien kytkeminen.

Lisätietoa

• http://www.f-secure.com/weblog/archives/00001987.html
• http://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/
• http://www.wilderssecurity.com/attachment.php?attachmentid=219888&d=1279012965
• http://www.securelist.com/en/blog/272/Myrtus_and_Guava_Episode_3
• http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
• http://www.symantec.com/connect/blogs/w32temphid-commonly-asked-questions
• http://www.cert.fi/haavoittuvuudet/2010/haavoittuvuus-2010-106.html
  

Sivua päivitetty 18.08.2010

Tulostusversio