Дыра в ПЛК-софте Horner позволяет выполнить код через файлы шрифтов

Исследователь Майкл Хайнцль (Michael Heinzl) обнаружил семь схожих уязвимостей в программном обеспечении Cscape производства Horner Automation. Все они вызваны некорректной проверкой пользовательского ввода и позволяют выполнить сторонний код в контексте текущего процесса с помощью специально созданного файла шрифтов.

Бесплатный софт Cscape широко используется для программирования контроллеров производственных процессов, а также устройств управления инженерным оборудованием зданий. Найдя опасные уязвимости (все по 7,8 балла CVSS), баг-хантер подал отчеты в CISA (Федеральное агентство по кибербезопасности, США) и опубликовал информационные бюллетени.

Одновременно вышли алерты американской ICS-CERT (группы быстрого реагирования на киберинциденты в сфере АСУ ТП), посвященные находкам Хайнцля, — один в конце мая, другой недавно, 4 октября.

Майский бюллетень ICS-CERT содержит список из четырех уязвимостей, проявляющихся при парсинге файлов шрифтов. Две из них классифицируются как запись за границами выделенного буфера, одна — как чтение за пределами буфера, еще одна — как переполнение буфера в куче.

Эксплойт во всех случаях тривиален и осуществляется с помощью вредоносного файла FNT, который жертва должна открыть (чтобы вызвать нужную реакцию, автору атаки придется прибегнуть к социальной инженерии). В случае успеха злоумышленник сможет выполнить в системе свой код с привилегиями текущего пользователя.

В октябрьском бюллетене ICS-CERT перечислены новые ошибки, которые могут возникнуть при работе Cscape с памятью в ходе парсинга: запись за границами буфера и две возможности доступа к неинициализированному указателю.

Данных о злонамеренном использовании какой-либо уязвимости Cscape на настоящий момент нет. Патчи Horner уже выпустила — четыре в составе пакета 9.90 SP6 (вышел 14 января), три в составе 9.90 SP8 от 22 сентября. Пользователям рекомендуется обновить продукт до последней версии и хорошо вооружиться на случай атаки с элементами социальной инженерии: научиться распознавать уловки фишеров и других мошенников, а также взять в привычку не кликать бездумно по ссылкам и вложениям в письмах от незнакомцев.