کنترلر منطقی برنامه پذیر یا PLC تجهیزی است که برای خودکارسازی فرایندها در کارخانه‌ها و محیط‌های صنعتی به کار می‌رود. یکی از تولیدکنندگان معروف این تجهیزات شرکت اشنایدر (Schneider) است. شرکت آرمیس (Armis)، که در زمینه امنیت سیستم‌های کنترل صنعتی فعال است، باگی را در برخی محصولات از سری Modicon اشنایدر کشف کرده و آن را ModiPwn نامیده است. این آسیب‌پذیری از نوع اجرای کد از راه دور است و می‌تواند برای مهاجم دسترسی کاملی به PLC را فراهم کند.

بهره‌برداری از این آسیب‌پذیری می‌تواند خطوط تولید کارخانه‌ها را تحت تأثیر قرار دهد و همچنین ممکن است محصولاتی که مردم به طور روزمره با آنها سروکار دارند، مثل آسانسور و تجهیزات گرمایش و سرمایش را با خطر مواجه کند. این آسیب‌پذیری که با شناسه CVE-2021-22779 رهگیری می‌شود، از دستوراتی نشئت می‌گیرد که در پروتکل UMAS وجود دارند، اما در مستندات ذکر نشده‌اند. این پروتکل مخصوص شرکت اشنایدر است و برای رصد و کنترل تجهیزات PLC به کار می‌رود.

این آسیب‌پذیری امکان دور زدن احراز هویت را فراهم می‌کند. سپس مهاجم می‌تواند روی تجهیز کد سطح پایین (native code) اجرا کند و بدین وسیله عملکرد PLC را دستکاری کند و در عین حال، تغییرات را از دید کامپیوتر متصل به تجهیز مخفی کند! البته برای سوء استفاده از آن، ابتدا مهاجم باید به شبکه‌ای که PLC به آن متصل است، دسترسی یابد که این امر باعث سخت‌تر شدن حمله می‌شود.

اشنایدر توصیه هایی برای جلوگیری از خطرساز شدن آسیب‌پذیری منتشر کرده است، اما هنوز وصله‌ای برای آن ارائه نداده است. Ben Seri مدیر تحقیقات آرمیس می‌گوید: آرمیس و اشنایدر برای فراهم کردن راهکارهای کاهش خطر آسیب‌پذیری با یکدیگر همکاری کرده‌اند. ما به همه سازمان‌هایی که تحت تأثیر این آسیب‌پذیری قرار دارند پیشنهاد می‌کنیم اکنون اقدامات لازم را انجام دهند.

باگ‌های دیگر

ModiPwn تنها یکی از باگ‌هایی است که اشنایدر در مورد آنها توصیه‌نامه منتشر کرده است. در کل، چندین باگ وجود دارد که اشنایدر برای آنها به‌روزرسانی یا توصیه امن سازی منتشر کرده است. همچنین برخی آسیب‌پذیری‌ها که قبلاً برای آنها توصیه‌نامه منتشر شده بود نیز وصله شده‌اند. دو آسیب‌پذیری قابل توجه در ادامه ذکر می‌شود:

باگ با شناسه CVE-2021-22772 با درجه حساسیت CVSS برابر 9.1 و از رده بحرانی است. این باگ به تجهیز Easergy T200 مربوط می‌شود و ناشی از نبود احراز هویت برای برخی کارکردهای حساس است. مهاجم می‌تواند از آن برای اجرای بدون مجوز برخی عملیات استفاده کند. آسیب‌پذیری بحرانی دیگر، CVE-2021-22707 است که در محصولات EVlink City، Parking و Smart Wallbox وجود دارد. ریشه این باگ وجود اعتبارنامه‌ای است که به طور ثابت در تجهیز ذخیره (hard code) شده است.

هنوز موردی از حملات دنیای واقعی با بهره‌گیری از این باگ‌ها مشاهده نشده است، اما باگ‌های سیستم‌های کنترل صنعتی در گذشته راه را برای حملات مخربی باز کرده‌اند. برای مثال، می‌توان به بدافزار Triton اشاره کرد که در سال 2018 به تأسیسات پتروشیمی عربستان حمله کرد، یا Stuxnet که برنامه هسته‌ای ایران را هدف گرفته بود.