Honeywell تعالج عيوبًا خطيرة في Experion PKS تهدد سلامة شبكة التحكم
أصدرت شركة "هانيويل" (Honeywell)، تكتل الأتمتة الصناعية، رقعًا أمنية حرجة لمعالجة العديد من نقاط الضعف عالية الخطورة التي تم اكتشافها داخل منصتها الرائدة "إكسبريون بروسيس نولدج سيستم" (Experion Process Knowledge System) أو (PKS). جاءت الرقع بعد تقييمات فنية شاملة وإرشادات أمنية لاحقة من وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، التي حذرت من أن الاستغلالات الأساسية يمكن أن تسمح للجهات الفاعلة الخبيثة بتعطيل قطاعات البنية التحتية الحرجة للتصنيع والمعالجة الكيميائية والطاقة. إذا تُركت هذه الثغرات دون معالجة، فإنها قد تعرض المكونات الحيوية على مستوى الحقل لتنفيذ تعليمات برمجية عن بُعد والتلاعب العشوائي بالعمليات.
تؤثر نقاط الضعف بشكل أساسي على إصدارات البرامج القديمة التي تسبق إصدارات Experion PKS R520.2 TCU9 Hot Fix 1 و R530 TCU3 Hot Fix 1. ووفقًا لمحققي الأمن السيبراني، توجد أعلى عوامل الخطر داخل بنية وصول بيانات التحكم (CDA) للنظام، وهو بروتوكول فرعي خاص مسؤول عن تسهيل تبادل البيانات عالية السرعة بين وحدات التحكم الصناعية ومحطات التشغيل. حدد باحثو الأمن السيبراني ست نقاط ضعف منفصلة داخل معالجات البروتوكول هذه، مما يسلط الضوء على الافتقار التام إلى وظائف التعريف والمصادقة الداخلية. وبالتالي، إذا حصل فاعل غير مصرح به على وصول أساسي إلى جزء شبكة معزول للمنشأة، فيمكنه تجاوز المحيطات التشغيلية التقليدية دون التحقق.
يحذر المهندسون من أن التداعيات العملية لنقاط الضعف في البروتوكول هذه تمتد إلى ما هو أبعد من اضطرابات شبكة تكنولوجيا المعلومات القياسية. في بيئة مصنع B2B النموذجية، يمكن للمهاجم الذي يستغل معالجات الشبكة غير المصادق عليها تنفيذ تعليمات برمجية ثنائية عشوائية على أجهزة مستوى الحقل، بما في ذلك وحدات التحكم C300، ومحولات معلومات الحقل، ووحدات بوابة الشبكة. يسمح هذا المستوى من الاختراق للخصم بتغيير معلمات العملية الفيزيائية مباشرة، أو تعديل تكوينات الجهاز، أو بدء إعادة تشغيل مفاجئة للأجهزة. يمكن أن تؤدي مثل هذه التدخلات الخبيثة إلى عدم استقرار حراري خطير، أو فرض إغلاق طارئ، أو تزوير البيانات المرسلة إلى مشغلي المصانع، مما قد يتسبب في أعطال كارثية للنظام.
لتحييد هذه التهديدات النشطة، قامت الشركة المصنعة بتحديث منهجي لمجموعة واسعة من خطوط أجهزتها الصناعية الأساسية، وتطبيق التحقق الصارم من البروتوكول لوحدة التحكم C300، ومدير العمليات المحسن عالي الأداء (EHPM)، وسلسلة وحدات الإدخال/الإخراج العالمية. بالإضافة إلى ذلك، تم دفع تحسينات أمنية إلى مدير الأجهزة اللاسلكية OneWireless (WDM) لمنع بوابات الاتصال اللاسلكية الطرفية من أن تصبح أبوابًا خلفية لشبكات المصانع الخاصة. ويحث مالكو الأصول الصناعية على مراجعة مصفوفات إدارة التصحيحات الحالية لديهم ونشر الإصلاحات العاجلة المحددة على الفور لحماية بيئات التحكم الموزعة لديهم من الاستغلال المستهدف.
يؤكد متخصصو أمن العمليات أنه بينما تقوم المنشآت الصناعية عادةً بفصل شبكات العمليات الخاصة بها عن شبكات تكنولوجيا المعلومات الخاصة بالشركات باستخدام جدران الحماية والمناطق المنزوعة السلاح، فإن عزل المحيط وحده لم يعد استراتيجية دفاع كافية. يوصي محللو الصناعة بتضمين برامج التحليلات التنبؤية المركزية وأدوات فحص الثغرات الأمنية النشطة مباشرة في بنية أرضية المصنع لمراقبة حزم الشبكة الداخلية باستمرار بحثًا عن الأوامر الشاذة. من خلال تطبيق الاكتشاف المستمر للأصول وتتبع السلوك جنبًا إلى جنب مع أحدث تحديثات البرامج الثابتة للموردين، يمكن للمشغلين الصناعيين الثقيلين ضمان موثوقية التشغيل على المدى الطويل وتعزيز مقاومتهم ضد تكتيكات الحرب السيبرانية المتزايدة التعقيد التي تستهدف البنية التحتية للمرافق العالمية.
كتب بواسطة: جوليان فانس، مهندس أمن أنظمة التحكم الصناعي بخبرة تزيد عن ثلاثة عشر عامًا في تصميم شبكات حتمية آمنة، ومراجعة هياكل DCS، وتطوير خطط الاستجابة لحوادث OT لقطاعات الطاقة العالمية وتصنيع العمليات.