Endüstriyel Kontrol Sistemlerinde (ICS) yaygın olarak kullanılmasına rağmen Modbus, güvenli olmayan bir protokol olarak kabul edilmektedir. Modbus’un güvenliğinin sağlanması ve Modbus’a saldırılması bu nedenle yıllardır gündemde olan bir konu ve Modbus Güvenlik Protokolü (MSP), Modbus’un ilk tanıtımından yaklaşık 40 yıl sonra ilk kez 2018’de yayınlandı. Bu makalede bazı yaygın Modbus keşif saldırıları tanıtılacak ve MSP’nin bu saldırılar üzerindeki etkisi kısaca tartışılacaktır.
Basit bir ifadeyle Modbus, elektronik cihazlar arasındaki iletişim için Denetleyici Kontrol ve Veri Toplama (SCADA) sistemleri de dahil olmak üzere endüstriyel ortamlarda kullanılan açık bir seri iletişim protokolü standardıdır. Daha spesifik olarak, Programlanabilir Mantıksal Kontrolör (PLC) ve ana kontrolör gibi kontrol cihazları arasında kontrol mesajı iletişimini mümkün kılar. Modbus ağları, fonksiyon kodlarını kullanarak bilgi isteyen Modbus istemcilerinden ve istenen bilgiyi sağlayan Modbus sunucusundan oluşur.
Bütünlük ve kimlik doğrulama eksikliği nedeniyle Modbus ağları, Hizmet Reddi (DoS) saldırıları, kod enjeksiyonu ve bu makaleyle ilgili en önemlileri içeren ancak bunlarla sınırlı olmayan çeşitli saldırılara karşı savunmasız bırakılmıştır; keşif saldırıları.
Keşif saldırıları, ICS ve OT ortamlarında kullanılan çeşitli saldırı kategorilerinden yalnızca biridir. Bu kategori kapsamında bu makale özellikle Modbus sunucularına karşı kullanılan dört saldırıya odaklanacaktır; adres taramaları, işlev kodu taramaları, cihaz tanımlama saldırıları ve nokta taramaları. BT sistemlerinde olduğu gibi, sistem hakkındaki bilgileri ve ayrıntıları tanımlamak için keşif saldırıları kullanılır; bu bilgiler daha sonra daha gelişmiş saldırılar için kullanılabilir. Dört saldırı genellikle belirli bir sırayla gerçekleştirilir:
1 – Adres Taraması
Adres tarama saldırıları, bir ağdaki ve ağa bağlı olan Modbus sunucusu adreslerini tanımlar. Bunlar 0 ile 247 arasında olacak ve 0, Modbus RTU’nun yayın adresi olarak kullanılacaktır. Bu aslında düşmana saldırı yüzeyi hakkında genel bir bakış sağlar. Tarama, ağa bağlı tüm cihazlara Modbus sorguları göndererek çalışır; bu sorgular ya bir hata ya da başarı mesajıyla (her iki şekilde de var olduklarını belirten) yanıt verir.
2 – İşlev Kodu Taraması
Modbus sunucu adreslerinin tanımlanmasının ardından işlev kodu tarama saldırısı yapılır. İşlev kodları iletişime dahil edilir ve ağ üzerinden veri yazma veya okuma gibi hangi ağ eylemlerinin gerçekleştirileceğini belirterek istek türünü belirler. İşlev kodu desteklenmiyorsa bir istisna kodu döndürür. Başarı veya hata mesajları şeklindeki diğer tüm yanıtlar, istenen işlev kodunun desteklendiğini gösterecektir. Tüm cihazlar bunların hepsini kullanmaz; bazıları satıcıya özeldir. Bu nedenle, hangi işlev kodlarının kullanılabileceğini belirlemenin yanı sıra, ağda bulunan sunuculara özel istekler göndermek, saldırganın ekipmanın modelini ve satıcısını tanımlamasına bile olanak sağlayabilir.
3 – Cihaz Tanımlama Saldırısı
Bir cihaz ve desteklediği fonksiyon kodları belirlendikten sonra sunucunun daha detaylı parmak izi alımı gerçekleştirilebilir. Bu, yapı numarası, kimliği ve satıcının adı da dahil olmak üzere daha ayrıntılı bilgiler toplayan bir cihaz tanımlama saldırısıyla gerçekleştirilir. Önceki saldırıda çok kısaca bahsedildiği gibi, bu bilgiyi toplamak için esas olarak okuma işlevleri kullanılır. Örnek olarak ilgili işlev kodları sırasıyla sunucu kimliğini, kayıt değerlerini ve cihaz kimliğini (satıcının adı, model adı veya satıcı URL’si dahil) bildiren 0x11, 0x17 ve 0x2B’yi içerir. Bunların hepsi, kod enjeksiyonu gibi daha ileri saldırılar için bilinen güvenlik açıklarını ve istismarları aramak için kullanılabilecek değerli bilgilerdir.
Örneğin Nmap’in bir komut dosyası var modbus-keşfetBir ağdaki istemci düğümlerinin kimliğini tanımlamak için IP adresleri ve Modbus’un kullandığı bağlantı noktası olan 502 numaralı bağlantı noktasıyla birlikte kullanılabilir.
4 – Nokta Taraması
Noktalar veya programlama noktaları, cihazlara yazılan veya cihazlardan okunan giriş ve çıkış değerlerini depolamak için kullanılır. Bunlara, örneğin PLC’ler üzerinde çalışan programların içinden erişilebilir; bunun nedeni Modbus protokolünde kimlik doğrulama eksikliği olabilir. Bu saldırı aynı zamanda, bir Modbus ağına bağlandıklarında sunucu görevi gören PLC’lerde uygulanan noktaları tanımlamak için de kullanılabilir; cihazın adresinin önceden tanımlanmış olması koşuluyla. Uygulanan noktaların içeriği de okunabilir. Bu, bir araya geldiğinde, saldırganın önceden tanımlanmış bir cihazın hafıza haritasını oluşturmasına olanak tanır.
Noktalar işlev kodlarını döndüreceğinden, bu tarama, döndürülen işlev kodlarının geçerli olduğundan emin olmak için genellikle işlev kodu taramasından sonra gerçekleştirilir.
Aktarım Katmanı Güvenliğini (TLS) orijinal Modbus protokolüyle birleştirdikleri Modbus Güvenlik Protokolü 2018 yılına kadar yayınlanmadı. Bu, daha önce güvenli olmayan protokole kimlik doğrulama ve mesaj bütünlüğü kazandırarak, örneğin Ortadaki Adam (MitM) saldırılarının önlenmesine yardımcı oldu.
Kimlik doğrulama önlemlerinin uygulamaya konması, yetkisiz kişilerin Modbus ağındaki düğümlerle iletişim kuramayacağı anlamına gelir; bu da keşif saldırılarının azaltılmasına yardımcı olabilir. Ne yazık ki yayımlanmış olması mutlaka uygulanacağı anlamına gelmiyor. ICS güvenliğinde donanım ve ürün yazılımı, protokole özel olarak geliştirilme eğilimindedir; bu, farklı veya daha yeni protokollerle uyumsuz olma eğiliminde oldukları anlamına gelir. Bu özellikle eski donanımlarda geçerlidir. Dolayısıyla mesele, Modbus protokolünün güvenliğinin sağlanmasıyla saldırıların azaltılıp azaltılamayacağı meselesinden çok, mevcut ICS ve SCADA sistemlerinde daha yeni, güvenli bir şekilde geliştirilmiş protokolün uygulanması meselesidir.
Sonuç olarak, orijinal Modbus protokolünü kullanan sistemler, VPN’ler, güvenlik duvarları ve genel katmanlı güvenlik kullanmak gibi diğer daha genel ağ güvenliği önlemlerini getirerek güvenliği uygular; öyle ki, bir düşman keşif saldırılarıyla bilgi toplamayı başarsa bile, ek saldırılarla başarılı olamaz. , insan güvenliği üzerinde tehlikeli etki yaratma olasılığı daha yüksek olan daha gelişmiş saldırılar.
Modbus protokolünün bu makalede bahsedilenlerden daha fazla güvenlik açığına ve tanımlanmış saldırılara sahip olduğunu unutmamak önemlidir. Protokolün kimlik doğrulama eksikliği, herhangi bir yetkisiz saldırganın Modbus ağına bağlı ICS cihazlarıyla iletişim kurabilmesi nedeniyle keşif saldırılarını mümkün kılan ana güvenlik açığıdır. Bu sorunun azaltılmasına yardımcı olmak için Modbus Güvenlik Protokolü geliştirildi ve 2018’de piyasaya sürüldü. Ne yazık ki, eski donanımın yeni protokolle uyumsuz olması gibi yaygın ICS sorunları, protokolün güvenli sürümünün mevcut sistemlerde ve standart güvenlikte yaygın olarak uygulanmamasına neden oldu. bu nedenle önlemler Modbus saldırılarına karşı korunmanın en iyi yolu olmaya devam ediyor. Gelecek yıllarda gelişmiş ve entegre güvenlik için Modbus Güvenlik Protokolü ile uyumlu daha yeni ICS cihazları ve ürünlerinin görüleceğini umuyoruz.
*Hedvig, bu yılki Güvenlik Ciddi İsimsiz Kahramanlar Ödülleri’nde Yükselen Yıldız kategorisinde finalisttir.