Исследователи из Forescout Research Vedere Labs обнаружили 22 уязвимости в серийно-IP конвертерах двух крупных производителей — Lantronix и Silex. Уязвимостям присвоили общее кодовое название BRIDGE:BREAK. Эти устройства стоят на стыке старых промышленных систем и современных IP-сетей, и именно поэтому атака на них несёт особую опасность: под угрозой оказываются не просто корпоративные данные, а управление физическим оборудованием на производствах, электростанциях и других критически важных объектах.
Серийно-IP конвертеры, или Serial-to-Ethernet converters, нужны для того, чтобы устаревшее промышленное оборудование с последовательными портами могло работать через TCP/IP-сети. По сути, это аппаратная прослойка между Legacy-системами, в том числе промышленными системами управления (ICS), и современной интернет-инфраструктурой. Почти 20 000 таких устройств прямо сейчас торчат в открытый интернет по всему миру.
Из 22 найденных уязвимостей 14 относятся к продуктам Silex, и ещё 8 касаются Lantronix. Затронутые модели, для которых уже выпущены патчи: Lantronix EDS3000PS Series, Lantronix EDS5000 Series и Silex SD330-AC. То, что патчи вышли, само по себе хорошо, но это не значит, что проблема решена. Многие промышленные устройства обновляют редко или не обновляют вовсе — сказывается специфика эксплуатации.
Типичный сценарий атаки с использованием BRIDGE:BREAK выглядит так. Злоумышленник проникает в сеть через какой-нибудь незащищённый граничный узел — промышленный маршрутизатор или файервол. Дальше в ход идут уязвимости конвертера. Получив над ним контроль, атакующий может перехватывать и подменять данные, которые передаются по последовательному каналу, а также двигаться дальше по сети и атаковать смежные критические системы. Это классическая точка опоры, от которой разворачивается вся дальнейшая атака на инфраструктуру.
Интересно, что проблема здесь не только и не столько в технических изъянах кода. Значительная часть рисков вызвана элементарными операционными просчётами: устройства стоят с заводскими паролями, висят в открытом интернете и не изолированы от остальной сети. Это превращает технические уязвимости в практически гарантированный вектор атаки для любого мотивированного злоумышленника.
Forescout настаивает на том, что безопасность должна быть не опциональной надстройкой, а базовым операционным требованием для подобных устройств. Первый и очевидный шаг — установить обновления прошивок от Lantronix и Silex. Оба производителя уже выпустили соответствующие патчи.
Помимо обновлений, необходимо сменить все заводские учётные данные. Звучит банально, но именно дефолтные пароли остаются одним из самых распространённых способов первичного взлома промышленного оборудования. Слабые пароли в этом контексте мало чем отличаются от их полного отсутствия.
Сегментация сети — ещё один обязательный пункт. Конвертеры нужно изолировать так, чтобы даже при компрометации одного устройства атакующий не получал свободного доступа ко всей инфраструктуре. Это ограничивает масштаб возможного ущерба и существенно усложняет горизонтальное перемещение внутри сети.
И главное: серийно-IP конвертеры вообще не должны быть напрямую доступны из публичного интернета. Те самые 20 000 устройств, которые сейчас открыты для внешних подключений — это прямое нарушение базовой сетевой гигиены. Каждое такое устройство представляет собой потенциальную точку входа для атаки на промышленный объект.
Изображение носит иллюстративный характер
Серийно-IP конвертеры, или Serial-to-Ethernet converters, нужны для того, чтобы устаревшее промышленное оборудование с последовательными портами могло работать через TCP/IP-сети. По сути, это аппаратная прослойка между Legacy-системами, в том числе промышленными системами управления (ICS), и современной интернет-инфраструктурой. Почти 20 000 таких устройств прямо сейчас торчат в открытый интернет по всему миру.
Из 22 найденных уязвимостей 14 относятся к продуктам Silex, и ещё 8 касаются Lantronix. Затронутые модели, для которых уже выпущены патчи: Lantronix EDS3000PS Series, Lantronix EDS5000 Series и Silex SD330-AC. То, что патчи вышли, само по себе хорошо, но это не значит, что проблема решена. Многие промышленные устройства обновляют редко или не обновляют вовсе — сказывается специфика эксплуатации.
Типичный сценарий атаки с использованием BRIDGE:BREAK выглядит так. Злоумышленник проникает в сеть через какой-нибудь незащищённый граничный узел — промышленный маршрутизатор или файервол. Дальше в ход идут уязвимости конвертера. Получив над ним контроль, атакующий может перехватывать и подменять данные, которые передаются по последовательному каналу, а также двигаться дальше по сети и атаковать смежные критические системы. Это классическая точка опоры, от которой разворачивается вся дальнейшая атака на инфраструктуру.
Интересно, что проблема здесь не только и не столько в технических изъянах кода. Значительная часть рисков вызвана элементарными операционными просчётами: устройства стоят с заводскими паролями, висят в открытом интернете и не изолированы от остальной сети. Это превращает технические уязвимости в практически гарантированный вектор атаки для любого мотивированного злоумышленника.
Forescout настаивает на том, что безопасность должна быть не опциональной надстройкой, а базовым операционным требованием для подобных устройств. Первый и очевидный шаг — установить обновления прошивок от Lantronix и Silex. Оба производителя уже выпустили соответствующие патчи.
Помимо обновлений, необходимо сменить все заводские учётные данные. Звучит банально, но именно дефолтные пароли остаются одним из самых распространённых способов первичного взлома промышленного оборудования. Слабые пароли в этом контексте мало чем отличаются от их полного отсутствия.
Сегментация сети — ещё один обязательный пункт. Конвертеры нужно изолировать так, чтобы даже при компрометации одного устройства атакующий не получал свободного доступа ко всей инфраструктуре. Это ограничивает масштаб возможного ущерба и существенно усложняет горизонтальное перемещение внутри сети.
И главное: серийно-IP конвертеры вообще не должны быть напрямую доступны из публичного интернета. Те самые 20 000 устройств, которые сейчас открыты для внешних подключений — это прямое нарушение базовой сетевой гигиены. Каждое такое устройство представляет собой потенциальную точку входа для атаки на промышленный объект.
