Polityka i prawo
Infrastruktura krytyczna w USA i Europie zagrożona
Według informacji udostępnionych przez amerykański ICS-CERT (zespół reagowania na incydenty komputerowe w infrastrukturze krytycznej – przyp. red.) wszystkie urządzenia wyposażone w system Ruggedcom Rox I posiadają krytyczną lukę pozwalającą na przejęcie infrastruktury sieciowej z uprawnieniami administratora. Producent rozwiązania, firma Siemens, nie przewiduje w przypadku tych narzędzi sieciowych aktualizacji bezpieczeństwa.
Routery i switche wykorzystujące rozwiązania Ruggedcom Rox I są używane niemal w każdym zakątku świata. Urządzenia Siemensa można spotkać nie tylko w typowych elementach infrastruktury krytycznej, jak systemy zarządzania energią czy elektrownie, ale także w sektorze medycznym czy transportowym. Oprogramowanie w wersji I nie jest obecne w nowych rozwiązaniach firmy, takich jak RX1500 i pochodnych, jednak wciąż jest ono używane w starszym sprzęcie.
Urządzenia, które mogą korzystać z oprogramowanie Rox I, to rodzina RX1000 i RX1100. Były one dostępne w sprzedaży co najmniej do roku 2014. System nie będzie aktualizowany przez producenta, mimo że luka odnaleziona przez niemieckiego eksperta Maxima Ruppa z Cuire53 posiada status krytycznej. W przypadku wykorzystania błędu w oprogramowaniu, haker może uzyskać dostęp do wewnętrznych części infrastruktury, wykonywać polecenia z poziomu zaufanego użytkownika czy uzyskać dostęp do poufnych informacji.
Cyberprzestępca po włamaniu może także wykonać atak typu Cross-Site Scripting (popularnie zwany XSS) czy zmienić ustawienia konfiguracyjne. Hakerzy, aby wykorzystać działanie luki, muszą jedynie przekonać użytkownika sieci, w której znajduję się urządzenie, aby udał się na adres odpowiednio przygotowanej strony.
Mimo braku aktualizacji, Siemens i ICS-CERT podają rozwiązanie problemu na swoich stronach internetowych. Wśród zaleceń, które pozwolą na odpowiednie zabezpieczenie systemów wyposażonych w Rugged Rox I, zostały wymienione:
- używanie dostarczonego rozwiązania do wyłączenia interfejsu webowego wraz z zablokowaniem konta gościa i administratora,
- ograniczenie dostępu jedynie dla zaufanych administratorów,
- zastosowanie ochrony „cell protection” zgodnej z zaleceniami Siemensa i zachowaniem zasad bezpieczeństwa przemysłowego,
- używanie VPN w przypadku połączeń elementów sieciowych,
- używanie zasady Defense-in-Depth,
- ochrona dostępu do interfejsu sieciowego za pomocą odpowiednich narzędzi.
Urządzenia sieciowe tej klasy są wykorzystywane w przemyśle i innych sektorach infrastruktury krytycznej przez wiele lat. Ich okres przydatności planowany jest na co najmniej kilkanaście, czasami kilkadziesiąt lat, stąd wiele rozwiązań z 2014, jeżeli nie wszystkie, mogą być nadal w użyciu. Przeciętny okres pracy oferowany przez producentów rozwiązań dla przemysłu przekracza czasami nawet 50 lat.