Объявлены результаты исследования безопасности промышленного протокола HART

Протокол HART - промышленный стандарт передачи данных, который является мировым "де-факто" стандартом для интеллектуальных полевых приборов. Изначально протокол HART был создан для передачи цифровых сообщений поверх аналоговых сигналов т.н. "токовой петли", 4-20 мА. На данный момент, HART может работать не только поверх токовой петли, но и поверх TCP/IP, беспроводных технологий (на базе 802.15.4), RS-485 и др.

В ходе исследования, проведенного экспертом компании Digital Security Александром Большевым и экспертом в области ИБ Александром Малиновским, выяснилось, что в системах, использующих в своей работе протокол HART (включая электростанции, химические заводы, нефтегазовые платформы и другие предприятия, работающие с взрывоопасными материалами), существуют множественные уязвимости, позволяющие получить доступ злоумышленникам.

HART был разработан компанией Rosemount, но в данный момент устройства с его поддержкой выпускаются ABB, Endress & Hauser, Emerson, Honeywell, Siemence и другими крупными игроками рынка устройств АСУ ТП. В основном, протокол используется для подключения RTU-устройств (датчиков и удаленных систем ввода вывода) к программируемым логическим контроллерам (PLC, промышленные контроллеры). Кроме того, информацию с датчиков можно считывать и с компьютера, посредством шлюз HART и HART-модемов. Программные средства работы с HART включают в себя HMI-системы (SCADA), OPC-сервера (OLE for Process Control) и PAS-системы (Plant Asset management Software).

Основной и самой популярной физической средой для протокола HART является токовая петля. Скорость передачи по ней составляет 1200 бод, при этом цифровой сигнал может накладываться на аналоговую составляющую. В случае присутствия аналоговой составляющей, на линии HART поддерживается только одно устройство. В многоточечной конфигурации аналоговая составляющая отсутствует, но на линии может находиться до 15 HART-датчиков.

По умолчанию, протокол допускает наличие только двух управляющих устройств. Длина линий HART может составлять до 3 км. Обычно, устройства HART используются на объектах критической важности.

При проведении данного исследования эксперт Digital Security ставил следующие цели:

• проверить устойчивость протокола HART к возможности чтения и внедрения пакетов в токовую петлю;
• проверить возможное наличие уязвимостей в программных системах, которые используют HART и посмотреть, может ли потенциальный злоумышленник спуфить(подделывать) пакеты в среде передачи HART.

Для решения первой задачи был разработан прототип HART-модуля для семейства отладочных плат общего назначения на базе микроконтроллеров AVR (Arduino) с HART-модемом. Как было продемонстрировано на конференции ZeroNights 2013, разработанный прототип может считывать и внедрять сигналы в токовую петлю.

В процессе исследования программного обеспечения, работающего с протоколом HART, были найдены уязвимости, позволяющие вызвать отказ в обслуживании как самого программного обеспечения, так и драйверов последовательных портов операционной системы с помощью специальным образом сформированных пакетов HART. Возможность реализации отказа в обслуживании была найдена в системе настройки и мониторинга термодатчиков фирмы INOR – MePro 2.12.0.

Также была найдена серьезная уязвимость в компоненте DTM. Технология FDT/DTM разработана FDT group и предназначена для упрощения разработки систем PAS и работы с полевыми устройствами. В основе технологии лежат COM-контейнеры и объекты, которые взаимодействуют между собой посредством XML-сообщений. Исследователями была продемонстрирована уязвимость в компоненте DTM, разработанном крупным вендором. Злоумышленник, изменив тег на датчике HART, может спровоцировать инъекцию XML, которая может привести к загрузке внешнего XSLT-стиля, что позволяет провести атаку XXE (XML External Entity). Последствием атаки может быть чтение произвольных файлов, SSRF-атаки, релеинг NTLM и другие.

Кроме того, уязвимым оказался программный продукт HART OPC Server. Уязвимость отказа в доступе была найдена в процедуре обработки пакетов HART-over-IP. Пакет с некорректным HART-IP заголовком может спровоцировать падение сервера OPC.

Несмотря на использование на критически важных объектах и заявления производителей, безопасность протокола HART является недостаточной. Уязвимости в некоторых программных системах, работающих с этим протоколом, могут привести к катастрофическим последствиям. Потенциальный злоумышленник, получивший физический доступ к линии токовой петли, с которой работают HART-датчики, может подделывать их показания, приводить системы мониторинга к отказу в обслуживании и даже получить доступ в КИС через уязвимости в DTM-компонентах. Все это может повлечь за собой не только компрометацию систем промышленного объекта, но сбой в технологических процессах целой электростанции или химического завода.