ช่องโหว่ SCADA ทำให้เกิด DoS อาจส่งผลกระทบต่อการทำงานของระบบอุตสาหกรรม

มีการค้นพบช่องโหว่ระดับปานกลาง (CVE-2025-0921) ในระบบ SCADA ของ Iconics Suite ที่อาจทำให้ผู้โจมตีสามารถกระตุ้นเงื่อนไขการปฏิเสธการให้บริการ (Denial-of-Service – DoS) บนระบบควบคุมอุตสาหกรรมที่สำคัญได้ ช่องโหว่นี้ส่งผลกระทบต่อโครงสร้างพื้นฐานการควบคุมและเก็บข้อมูล (SCADA) ที่ใช้งานอย่างแพร่หลายในอุตสาหกรรมยานยนต์ พลังงาน และการผลิต ช่องโหว่นี้มีคะแนน CVSS ที่ 6.5 ซึ่งจัดอยู่ในระดับปานกลาง

Severity: ปานกลาง

System Impact:

• ระบบ Iconics Suite SCADA
• บริการหลายรายการใน Mitsubishi Electric Iconics Digital Solutions GENESIS64
• MC Works64
• GENESIS เวอร์ชัน 11.00
• ระบบควบคุมอุตสาหกรรม (Industrial Control Systems – ICS)
• เวิร์คสเตชันวิศวกรรม OT (Windows system components เช่น ไดรเวอร์ cng.sys)
• ภาคอุตสาหกรรมยานยนต์ พลังงาน และการผลิต
• สิ่งอำนวยความสะดวกของรัฐบาล สถานที่ทางทหาร โรงบำบัดน้ำเสียและน้ำดี และผู้ให้บริการพลังงาน
• ระบบที่ติดตั้ง Iconics Suite กว่าแสนแห่งในกว่า 100 ประเทศ

Technical Attack Steps:

1. ช่องโหว่อยู่ในส่วนประกอบ Pager Agent ของ AlarmWorX64 MMX ซึ่งเป็นระบบจัดการการเตือนภัย
2. ผู้โจมตีที่มีสิทธิ์เข้าถึงในเครื่อง (local access) สามารถใช้ช่องโหว่นี้โดยการแก้ไขการตั้งค่าพาธ ‘SMSLogFile’ ที่เก็บอยู่ในไฟล์ ‘IcoSetup64.ini’ ซึ่งอยู่ในไดเรกทอรี ‘C:\ProgramData\ICONICS’
3. สร้าง symbolic links จากตำแหน่งไฟล์บันทึก (log file) ไปยังไฟล์ไบนารีของระบบเป้าหมาย
4. เมื่อผู้ดูแลระบบส่งข้อความทดสอบหรือระบบทริกเกอร์การแจ้งเตือนโดยอัตโนมัติ ข้อมูลการบันทึกจะถูกส่งผ่าน symbolic link และเขียนทับไดรเวอร์ที่สำคัญ เช่น ‘cng.sys’ (ซึ่งให้บริการด้านการเข้ารหัสสำหรับส่วนประกอบของระบบ Windows)
5. เมื่อระบบรีบูต ไดรเวอร์ที่เสียหายจะทำให้เกิดการบูตล้มเหลว ทำให้เครื่องติดอยู่ในวงจรการซ่อมแซมที่ไม่สิ้นสุด และทำให้เวิร์คสเตชันวิศวกรรม OT ไม่สามารถใช้งานได้
6. การโจมตีจะง่ายขึ้นหากใช้ร่วมกับ CVE-2024-7587 (ช่องโหว่ก่อนหน้านี้ในโปรแกรมติดตั้ง GenBroker32 ที่ให้สิทธิ์มากเกินไปแก่ไดเรกทอรี ‘C:\ProgramData\ICONICS’ ซึ่งอนุญาตให้ผู้ใช้ในเครื่องทุกคนแก้ไขไฟล์การกำหนดค่าที่สำคัญได้)

Recommendations:

Short Term:

• สำหรับผู้ใช้ GENESIS เวอร์ชัน 11.01 และใหม่กว่า: ให้ติดตั้งแพตช์ที่เปิดตัวจาก Iconics Community Resource Center
• สำหรับผู้ใช้ GENESIS64: รอการพัฒนาและเปิดตัวเวอร์ชันแก้ไขในอนาคตอันใกล้
• สำหรับผู้ใช้ MC Works64: ให้ใช้มาตรการบรรเทาผลกระทบ เนื่องจากยังไม่มีแผนการเปิดตัวแพตช์ในขณะนี้

Long Term:

• ดำเนินการประเมินความปลอดภัยอย่างละเอียดและสม่ำเสมอ (เช่นเดียวกับการประเมินโดยนักวิจัย Unit 42)
• ตรวจสอบและกำหนดค่าสิทธิ์การเข้าถึงไฟล์และไดเรกทอรีอย่างเหมาะสม เพื่อป้องกันปัญหาที่เกิดจากสิทธิ์ที่มากเกินไป (เช่น CVE-2024-7587)
• นำกระบวนการจัดการแพตช์ที่แข็งแกร่งมาใช้เพื่ออัปเดตระบบและซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ
• เพิ่มความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์เพื่อป้องกันการโจมตีทางวิศวกรรมสังคม (social engineering) ที่อาจนำไปสู่การแก้ไขไฟล์กำหนดค่า

Source: https://cybersecuritynews.com/scada-vulnerability-triggers-dos/