Badacze z Kaspersky Lab znaleźli oprócz luk także kilka błędów w produktach komercyjnych stworzonych w oparciu o OPC UA - protokół przemysłowy, opracowany i udostępniony przez OPC Foundation w 2006 r. w celu zapewnienia niezawodnej i bezpiecznej transmisji danych między różnymi systemami w sieci przemysłowej. Protokół ten jest powszechnie stosowany przez znanych producentów we współczesnych zakładach przemysłowych, w branży produkcyjnej, ropy i gazu, farmaceutycznej i innych. Jego bramy są instalowane przez coraz więcej przedsiębiorstw przemysłowych w celu zapewnienia komunikacji w ramach zautomatyzowanej kontroli procesów i telemetrii, jak również w systemach monitoringu i telesterowania, umożliwiając ujednolicenie procesów zarządzania w takich przedsiębiorstwach. Protokół ten jest ponadto wykorzystywany w przemysłowym Internecie Rzeczy (IIoT) oraz elementach inteligentnych miast, którymi coraz bardziej zaczynają interesować się cyberprzestępcy.

Eksperci przeanalizowali architekturę i produkty OPC UA. Po zbadaniu jego otwartego kodu źródłowego (dostępnego w serwisie GitHub), w tym przykładowego serwera, odkryto, że kod aktualnych implementacji protokołu zawiera błędy powstałe na etapie projektowania i pisania. Nie powinny one występować w tak popularnym oprogramowaniu dla infrastruktury krytycznej. Łącznie w produktach OPC Foundation zidentyfikowano 17 luk dnia zerowego. Zostały one zgłoszone twórcom poszczególnych produktów, którzy zastosowali odpowiednie łaty. Ponadto przeanalizowano oprogramowanie osób trzecich oparte na tym protokole przemysłowym, w tym rozwiązania czołowych producentów w branży. W większości przypadków stwierdzono, że błędy spowodowane były tym, że twórcy nie stosowali poprawnie niektórych z funkcji implementacji protokołu. W innych przypadkach luki wynikały z niepoprawnych modyfikacji wprowadzonych do infrastruktury protokołu. Eksperci wykryli niespełniające wymogów bezpieczeństwa zastosowanie funkcji w produkcie komercyjnym, mimo że oryginalna implementacja OPC Foundation nie zawierała błędów. W efekcie modyfikacje w logice protokołu, dokonane przez producentów z niewiadomych powodów, prowadziły do funkcjonalności, która stanowiła ryzyko.

Wszystkie luki wykryte w implementacjach protokołu OPC UA mogły spowodować poważne szkody dla przemysłu. Z jednej strony istniało ryzyko problemów związanych z atakiem DoS, który mógłby stanowić poważne zagrożenie dla systemów przemysłowych poprzez zakłócenie lub przerwanie procesów przemysłowych. Z drugiej strony luki te umożliwiały zdalne wykonanie kodu, co oznaczało, że atakujący mogli wysłać dowolny rodzaj poleceń do serwera w celu kontrolowania procesów przemysłowych lub dalszego włamywania się do sieci. Luki zostały zgłoszone twórcom i usunięte do końca marca 2018 r.

Źródło: Kaspersky Lab ICS CERT