Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstration of typical attacks and 0-days in SCADA and PLC-controllers

“Практическая демонстрация
типовых атак и 0-day уязвимостей в
SCADA и PLC-контроллерах”
Павел Волобуев
Александр Миноженко
Александр Поляков

Digital Security
© 2002—2011 , Digital Security

Основные угрозы информационной безопасности в АСУ ТП

Современная промышленная система

От релейных систем к современной АСУ

© 2002—2011, Digital Security 2



Миф: промышленные системы не подвержены угрозам

Технологии, используемые в АСУ ТП сегодня:

Windows
Linux
Ethernet
HTTP
XML
DCOM
.NET
SQL
SOAP




Миф: промышленные системы не подвержены угрозам

1. Промышленные системы вместе со всеми
положительными аспектами использования этих
технологий получили «в подарок» и все их
проблемы

2. Уязвимости этих технологий широко известны.

3. Эксплуатация уязвимостей в промышленной среде
хоть и имеет свою специфику, но возможна и
почти не отличается от эксплуатации в
корпоративной сети.




Stuxnet:

4 уязвимости Windows

Украденная цифровая
подпись драйвера

Уязвимость в ПО от
Siemens

Стандартные учетные
записи



Причины
Производители и инженеры КИПиА уделяют основное внимание функционалу
и производительности, а также обеспечению работоспособности, часто в
ущерб безопасности системы



Проблемные сегменты

Беспроводные коммуникации

Дистанционные методы управления

Удаленная диспетчеризация

Веб-технологии



Проблемные сегменты

SSID сети раскрывает ее
предназначение

WEP-шифрование является
нестойким, и взламывается за
минуты.



Угрозы

Вирусы
Троянские программы
Черви
DoS-атаки
ARP-спуфинг
Некорректное обновление ПО
Несанкционированный доступ к данным
Человеческий фактор



Воздействие на технологический процесс: теперь уже реальность
Даже в примитивной схеме есть место для проблем с безопасностью

Рисунок: 1998, Cisco



Немного практики. 4 производителя

SCADA т

PLC т



OPC Systems .NET

Michelin Tire
JBT AeroTech

Dart Oil and Gas Blue Pillar - Hospital

Nuclear powered U.S. Navy submarines and aircraft carriers.



1. OPC Systems .NET ActiveX BOF 0-day DSECRG-00249



2. OPC Systems .NET ActiveX Unauthorized DOS DSECRG-00249



3. OPC Systems .NET insecure password storage DSECRG-00248



large projects in China such as South-to-North Water Transfer Project , West-East Natural
Gas Transmission Project ,The Three Gorges Dam

WellinTech is engaged in the automation software, independent R&D, marketing and
service. By 2009, WellinTech has more than 260 employees, and is the largest
professional automation software company in Asia.



4. KingSCADA 3.0 - Default passwords

Administrator – Administrator
K



5. KingSCADA 3.0 - Insecure password encryption [DSECRG-00247]



SCADA весело но PLC ещё интереснее и неизведаннее



6. WAGO 750 PLC – Default passwords [DSECRG-00243]



7. WAGO 750 PLC – information disclose [DSECRG-00245]

//PLC/persist.dat
//PLC/DEFAULT.CHK
//PLC/minml.jar
//PLC/webvisu.jar
//PLC/webvisu.htm
//PLC/visu_ini.xml
//PLC/alm_ini.xml
//PLC/graben_ddevis.txt
//PLC/tabelle_variablen_xml.zip
//PLC/tabelle_array_xml.zip



8. WAGO 750 PLC – Unauthorized firmware access [DSECRG-00244]

GET Http://ipadress:/PLC/DEFAULT.PRG



9. WAGO 750 PLC – CSRF password change [DSECRG-00246]

POST /SETWEBPASS?

ULIST=admin&PASS1=aaaa&PASS2=aaaa&SUBMIT=SUBMIT



передовой чешский производитель промышленных систем

передовой чешский производитель промышленных
систем управления и регулирования


10. TECOMAT PLC – default passwords [DSECRG-00250]



Поиск в Google WAGO PLC



Поиск в Shodan WAGO PLC



А теперь в реальном мире



А теперь в реальном мире (WAGO PLC)



Поиск в Shodan Тecomat Foxtrot PLC



А теперь в реальном мире (Tecomat Foxtrot PLC)



А теперь в реально мире (SIMATIC PLC)



Обнаружили, а что дальше?

• Атаки на SCADA
• Атаки на PLC
• Атаки на инфраструктуру и ОС
• Атаки на протоколы



Практические атаки

Реализация зависит от протокола.
Мы рассмотрим Modbus TCP
Порт 502 по умолчанию



Команды (Function Codes)



Защита?

• Аутентификация
• Шифрование
• Контрольная сумма

Неа, не слышал :)



Прочие протоколы и сервисы



Атаки на WAGO

• FTP Заливка модифицированной прошивки через FTP (дефалт пароль)
• HTTP Скачка прошивки (без аутентификации)
• HTTP выключение и смена настроек (дефалт пароль)
• SNMP информация (дефалт стринг)
• MODBUS изменение значения регистров (без аутентификации)
• WAGO Services Смена настроек и DOS (Без аутентификации)
• CODESYS Перезаливка прошивки (без аутентификации)




• Раскрытие информации (Information Disclose)
• Отказ в обслуживании (Denial of Service)
• Отказ в доступе (Denial of Access)
• Отказ в управлении (Denial of control)
• Отказ в представлении (Denial of view)
• Подмена представления (Manipulation of View)




DEMO



А теперь в реальном мире (OMG!)



Предварительный итог



Итого

• Да, действительно безопасность на уровне лет 90х
• Да, необходимо заниматься безопасностью АСУТП
• Да, есть интересные направления исследований ( PLC)
• Да, необходимо больше исследований в этой области
( рассмотрен 1 контроллер из >50)
• Да, мы ищем помощников в наши ряды в том числе и для
этих задач


Digital Security http://www.dsec.ru

www.twitter.com/pvolobuev
p.volobuev@dsec.ru

Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstration of typical attacks and 0-days in SCADA and PLC-controllers

More Related Content

What's hot (20)

Viewers also liked (6)

Similar to Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstration of typical attacks and 0-days in SCADA and PLC-controllers (20)

More from DefconRussia (20)

Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstration of typical attacks and 0-days in SCADA and PLC-controllers