W sieci pojawił się exploit wykorzystujący przepełnienie bufora w CitectSCADA, systemie służącym do monitorowania i zarządzania procesami przemysłowymi.

Systemy SCADA (Supervisory Control and Data Acquisition) służą do sterowania urządzeniami automatyki przemysłowej i zbierania danych o ich funkcjonowaniu. Są powszechnie stosowane w elektrowniach, rafineriach, gazociągach, oczyszczalniach ścieków i zakładach przemysłowych.

Opublikowany 5 września exploit wykorzystuje upublicznioną 11 czerwca 2008 roku lukę w systemie CitectSCADA firmy Citect, jednym z popularniejszych systemów tego typu (w 80 krajach sprzedanych łącznie ponad 150 tysięcy licencji). Oprogramowanie to jest uruchomione na standardowych komputerach z systemem Microsoft Windows. Odkryta luka pozwala na zdalne przeprowadzenie ataku DoS lub wykonanie dowolnego kodu na zaatakowanym systemie. Jedynym warunkiem jest możliwość połączenia do zdalnego systemu na port 20222/TCP.

W dniu upublicznienia luki Citect udostępnił poprawki do wszystkich podatnych wersji oprogramowania. Stwierdzono także, że problem dotyczy tylko zakładów przemysłowych podłączających swoje systemy bezpośrednio do Internetu, bez ochrony za pomocą firewalli – systemy automatyki przemysłowej są zazwyczaj ściśle odseparowane od publicznych sieci. Mimo tego, po udostępnieniu exploita w Internecie trwają intensywne skanowania portu 20222/TCP. Wzrost ruchu na tym porcie został zaobserwowany między innymi przez serwis SANS Internet Storm Center. Skanowania te wykrył również system wczesnego ostrzegania o zagrożeniach w sieci Arakis.

Microsoft opublikował sierpniowy biuletyn bezpieczeństwa, w którym zamieścił aż sześć krytycznych poprawek i pięć ważnych.
Poprawki krytyczne:

• MS08-046 – poprawka łatająca lukę w Microsoft Image Color Management (ICM), która pozwalała na zdalne wykonanie dowolnego kodu, a nawet przejęcie całkowitej kontroli nad atakowanym systemem w przypadku, gdy użytkownik jest zalogowany na konto z uprawnieniami administratora
• MS08-045 - zestaw poprawek dla przeglądarki Internet Explorer, które naprawiają luki pozwalające na zdalne wykonanie dowolnego kodu, jeżeli użytkownik przy pomocy IE wejdzie na specjalnie spreparowaną stronę internetową.
• MS08-041 – poprawka rozwiązująca problemy w kontrolce ActiveX modułu Snapshot Viewer dla Microsoft Access. Podatność pozwalała wykonać zdalnie dowolny kod poprzez zmodyfikowaną do tego celu stronę WWW.
• MS08-043 – aktualizacja dla aplikacji MS Office Excel, która łata luki pozwalające wykonać w systemie ofiary dowolny kod poprzez otwarcie w podatnej aplikacji specjalnie spreparowanego pliku arkusza kalkulacyjnego.
• MS08-051 – zbiór łat naprawiających trzy luki w aplikacjach MS Office PowerPoint oraz PowerPoint Viewer, które pozwalały na zdalne wykonanie dowolnego kodu przez otwarcie pliku prezentacji.
• MS08-044 – poprawki łatające luki, które pozwalały na wykonanie kodu w przypadku przeglądania specjalnie spreparowanego pliku graficznego używając pakietu MS Office

Poprawki ważne:

• MS08-047 – poprawki dla systemów z rodziny MS Windows Vista i Windows Server 2008 dotyczące obsługi reguł IPSec.
• MS08-049 – aktualizacje dla wszystkich systemów z rodziny MS Windows, które łatają podatności w MS Event Sysytem.
• MS08-048 – łata dla programów pocztowych Outlook Express i Windows Mail
• MS08-050 – aktualizacje dla Windows Messenger (luka w kontrolce ActiveX)
• MS08-042 – poprawka dla edytora tekstu MS Word,

Równolegle do działań zbrojnych, jakie mają miejsce w Gruzji, prowadzona jest również wojna w cyberprzestrzeni. Dopełnieniem konfliktu zbrojnego między Gruzją i Rosją są zmasowane ataki na gruzińskie strony internetowe. Po rozpoczęciu działań wojennych, podmieniona została strona prezydenta Gruzji. Następnie ta i wiele innych oficjalnych gruzińskich stron rządowych, policji, agencji prasowych, stacji telewizyjnych, a nawet najpopularniejsze gruzińskie forum hakerskie, zostały sparaliżowane atakami DDoS.

Ciekawe jest posunięcie władz gruzińskich, które w następstwie cyberataków na serwery zlokalizowane w Gruzji, gdzie indziej publikują swoje informacje, m.in. strona prezydenta Gruzji została przeniesiona na serwery ulokowane w Stanach Zjednoczonych. Jak wiadomo, w odpowiedzi na zakłócenia w działaniu strony internetowej Ministerstwa Spraw Zagranicznych Gruzji www.mfa.gov.ge, w ubiegłą niedzielę, Kancelaria Prezydenta RP udostępniła stronę internetową www.president.pl do umieszczenia na niej informacji o wydarzeniach w Gruzji.

Przeprowadzone cyberataki na Gruzję przypisywane są głównie obywatelom Rosji, w tym cyberprzestępczej organizacji Russian Business Network. Jednak z uwagi na to, że w momencie rozpoczęcia działań zbrojnych, na rosyjskich stronach internetowych bardzo szybko pojawiły się ogólnodostępne instrukcje i narzędzia do przeprowadzania ataków wraz z „listą celów”, stąd w ich przeprowadzaniu uczestniczą zapewne też osoby niekoniecznie obeznane z techniką hakerską. Pod tym względem obserwowany cyberatak na Gruzję przypomina ubiegłoroczny atak na Estonię.

W dniu dzisiejszym, kiedy Rosja ogłosiła oficjalnie zawieszenie działań zbrojnych, większość stron jest już dostępnych i działa bez większych zakłóceń. Nie jest jednak pewne, czy to koniec cyberataków i trudno spodziewać się szybkiego ich zakończenia w najbliższym czasie.

Działający w NASK zespół CERT Polska aktywnie uczestniczy w pomocy ukierunkowanej na odparcie cyberataków. W Gruzji od pewnego czasu działa zespół CERT Georgia, usytuowany przy organizacji GRENA. W powstaniu tego CERTu aktywny udział miał zespół CERT Polska, który uczestniczy w procesie powstawania CERTów w regionie kaukaskim, w ramach sponsorowanego przez NATO projektu CLOSER.
Pozostajemy w stałym kontakcie z gruzińskim zespołem CERT. Również jako członek międzynarodowych organizacji zrzeszających CERTy z całego świata (FIRST), pośredniczymy w wymianie informacji między zespołami reagującymi, między innymi przekazując dane, które służą do blokowania ataków mających swe źródła w innych krajach.