Объявлены результаты уникального исследования безопасности промышленного протокола HART

18.11.2013

Протокол HART (Highway Addressable Remote Transducer Protocol, дистанционно управляемый измерительный преобразователь, адресуемый через магистраль) –промышленный стандарт передачи данных, который является мировым «де-факто» стандартом для интеллектуальных полевых приборов. Изначально протокол HART был создан для передачи цифровых сообщений поверх аналоговых сигналов т. н. «токовой петли», 4–20 мА. На данный момент, HART может работать не только поверх токовой петли, но и поверх TCP/IP, беспроводных технологий (на базе 802.15.4), RS-485 и др.

В ходе исследования, проведенного экспертом компании Digital Security Александром Большевым и экспертом в области ИБ Александром Малиновским, выяснилось, что в системах, использующих в своей работе протокол HART (включая электростанции, химические заводы, нефтегазовые платформы и другие предприятия, работающие с взрывоопасными материалами), существуют множественные уязвимости, позволяющие получить доступ злоумышленникам.

HART был разработан компанией Rosemount, но в данный момент устройства с его поддержкой выпускаются ABB, Endress & Hauser, Emerson, Honeywell, Siemence и другими крупными игроками рынка устройств АСУ ТП. В основном, протокол используется для подключения RTU-устройств (датчиков и удаленных систем ввода вывода) к программируемым логическим контроллерам (PLC, промышленные контроллеры). Кроме того, информацию с датчиков можно считывать и с компьютера, посредством шлюз HART и HART-модемов. Программные средства работы с HART включают в себя HMI-системы (SCADA), OPC-сервера (OLE for Process Control) и PAS-системы (Plant Asset management Software).

Основной и самой популярной физической средой для протокола HART является токовая петля. Скорость передачи по ней составляет 1200 бод, при этом цифровой сигнал может накладываться на аналоговую составляющую. В случае присутствия аналоговой составляющей, на линии HART поддерживается только одно устройство. В многоточечной конфигурации аналоговая составляющая отсутствует, но на линии может находиться до 15 HART-датчиков.

По умолчанию, протокол допускает наличие только двух управляющих устройств. Длина линий HART может составлять до 3 км. Обычно, устройства HART используются на объектах критической важности.

При проведении данного исследования эксперт Digital Security ставил следующие цели:

- проверить устойчивость протокола HART к возможности чтения и внедрения пакетов в токовую петлю;

- проверить возможное наличие уязвимостей в программных системах, которые используют HART и посмотреть, может ли потенциальный злоумышленник спуфить(подделывать) пакеты в среде передачи HART.

Для решения первой задачи был разработан прототип HART-модуля для семейства отладочных плат общего назначения на базе микроконтроллеров AVR (Arduino) с HART-модемом. Как было продемонстрировано на конференции ZeroNights 2013, разработанный прототип может считывать и внедрять сигналы в токовую петлю.

В процессе исследования программного обеспечения, работающего с протоколом HART, были найдены уязвимости, позволяющие вызвать отказ в обслуживании как самого программного обеспечения, так и драйверов последовательных портов операционной системы с помощью специальным образом сформированных пакетов HART. Возможность реализации отказа в обслуживании была найдена в системе настройки и мониторинга термодатчиков фирмы INOR – MePro 2.12.0.

Также была найдена серьезная уязвимость в компоненте DTM. Технология FDT/DTM разработана FDT group и предназначена для упрощения разработки систем PAS и работы с полевыми устройствами. В основе технологии лежат COM-контейнеры и объекты, которые взаимодействуют между собой посредством XML-сообщений. Исследователями была продемонстрирована уязвимость в компоненте DTM, разработанном крупным вендором. Злоумышленник, изменив тег на датчике HART, может спровоцировать инъекцию XML, которая может привести к загрузке внешнего XSLT-стиля, что позволяет провести атаку XXE (XML External Entity). Последствием атаки может быть чтение произвольных файлов, SSRF-атаки, релеинг NTLM и другие.

Кроме того, уязвимым оказался программный продукт HART OPC Server. Уязвимость отказа в доступе была найдена в процедуре обработки пакетов HART-over-IP. Пакет с некорректным HART-IP заголовком может спровоцировать падение сервера OPC.

Несмотря на использование на критически важных объектах и заявления производителей, безопасность протокола HART является недостаточной. Уязвимости в некоторых программных системах, работающих с этим протоколом, могут привести к катастрофическим последствиям. Потенциальный злоумышленник, получивший физический доступ к линии токовой петли, с которой работают HART-датчики, может подделывать их показания, приводить системы мониторинга к отказу в обслуживании и даже получить доступ в КИС через уязвимости в DTM-компонентах. Все это может повлечь за собой не только компрометацию систем промышленного объекта, но сбой в технологических процессах целой электростанции или химического завода.