Уязвимость протокола RADIUS в управляемых коммутаторах Schneider Electric Modicon

Компания Schneider Electric сообщила о выявлении серьезной уязвимости в своих управляемых сетевых коммутаторах серии Modicon, затрагивающей протокол RADIUS. Проблема заключается в недостаточной проверке целостности сообщений при передаче данных между клиентом и сервером аутентификации. Это может привести к тому, что любой действительный ответ сервера (например, "Доступ разрешен", "Доступ запрещен" или "Запрос дополнительных данных") может быть изменён злоумышленником до получения конечным устройством.

Если данная проблема останется нерешённой, это создаст риск проведения атаки на отказ в обслуживании (DoS), а также потери конфиденциальности и целостности устройств, подключённых к сети через эти коммутаторы.

Какие устройства подвержены риску?

Подвержены данной проблеме все версии следующих моделей управляемых коммутаторов Schneider Electric:

• Connexium Managed Switches всех версий;
• Modicon Managed Switches всех версий;
• Modicon Redundancy Switches всех версий.

Это означает, что любые организации, использующие данные модели оборудования, должны принять меры предосторожности независимо от текущей конфигурации их сетей.

Как работает атака?

Атака возможна благодаря отсутствию должного контроля целостности сообщений в канале передачи данных RADIUS-протокола. При отключении опции проверки подлинности сообщения сервера ("RADIUS Server Message Authenticator"), передаваемые пакеты могут быть перехвачены и изменены злоумышленниками. Например, вместо ответа "Доступ разрешён" устройство получит сообщение "Отказано в доступе". Такая манипуляция способна вызвать сбои в работе инфраструктуры и даже полностью заблокировать доступ легитимных пользователей к ресурсам.

Последствия для бизнеса

Эта уязвимость представляет серьёзную угрозу для организаций, работающих в таких секторах, как энергетика, транспорт, водоснабжение и другие отрасли критической инфраструктуры. Потеря доступа к важным системам управления оборудованием или нарушение работы промышленных процессов может повлечь за собой значительные финансовые убытки, нарушения производственного цикла и даже угрозы безопасности персонала.

Кроме того, успешное использование этой уязвимости позволяет нарушителям получить контроль над устройствами, подключёнными к сети, что открывает путь для дальнейших атак, включая кражу конфиденциальных данных и нанесение ущерба репутации компании.

Что делать организациям?

Для минимизации риска рекомендуется выполнить следующие действия:

• Провести аудит текущих настроек RADIUS-сервера и убедиться, что опция "RADIUS Server Message Authenticator" включена;
• Проверить наличие обновлений прошивки для используемых моделей коммутаторов и установить последние доступные обновления;
• Ограничить физический доступ к оборудованию и обеспечить его защиту от несанкционированного вмешательства;
• Регулярно проводить мониторинг событий безопасности и анализировать журналы аудита для выявления подозрительной активности.

Эти шаги помогут снизить вероятность успешной эксплуатации данной уязвимости и защитить инфраструктуру вашей организации.

Как проверить с помощью Perimeter

Платформа Perimeter предлагает инструмент для анализа сетевой инфраструктуры, который поможет выявить возможные проблемы с безопасностью ваших устройств. Модуль network позволяет провести глубокий анализ состояния сети, включая проверку правильности настройки протоколов аутентификации, таких как RADIUS. Вы сможете увидеть, какие устройства используют устаревшие или небезопасные конфигурации, и оперативно устранить потенциальные риски.