नोज़ोमी नेटवर्क्स लैब्स के सुरक्षा शोधकर्ताओं ने क्लिक प्लस उपकरणों में सात कमजोरियों की पहचान की और तुरंत ऑटोमेशनडायरेक्ट को अधिसूचित किया, जिससे प्रजनन और सुधार को सक्षम करने के लिए तकनीकी विवरण प्रदान किया गया। विश्लेषण पीएलसी के क्लिक प्लस परिवार पर केंद्रित है, विशेष रूप से सी2-03सीपीयू-2 मॉडल, जिसमें वाई-फाई और ब्लूटूथ इंटरफेस की सुविधा है। C2-03CPU-2 का चयन इसलिए किया गया क्योंकि इसकी वायरलेस क्षमताएं इसे कार्यस्थानों और मोबाइल उपकरणों से एक्सेस की जाने वाली फ़ील्ड-तैनात इकाइयों का प्रतिनिधि बनाती हैं।
नोज़ोमी के शोधकर्ताओं ने एक हालिया ब्लॉग पोस्ट में विस्तार से बताया, “डिवाइस एक मालिकाना, यूडीपी-आधारित प्रोटोकॉल का उपयोग करके वर्कस्टेशन के साथ संचार करते हैं, और उसी प्रोटोकॉल का थोड़ा संशोधित संस्करण ब्लूटूथ और मोबाइल एप्लिकेशन द्वारा उपयोग किए जाने वाले वायरलेस इंटरफ़ेस पर चलता है।” “वह प्रोटोकॉल हमारे काम का एक प्रमुख फोकस था: हमने इसके कनेक्शन और कुंजी-विनिमय चरणों, संदेश प्रारूपों और गोपनीयता, अखंडता और सत्र प्रबंधन सुनिश्चित करने के उद्देश्य से तंत्र की जांच की, विशेष रूप से कार्यान्वयन विकल्पों की तलाश की जो अन्यथा ध्वनि डिजाइन को कमजोर कर सकते हैं।”
नेटवर्क प्रोटोकॉल के अलावा, नोज़ोमी के दायरे में क्लिक प्लस डिवाइसों को प्रोग्राम और प्रबंधित करने के लिए उपयोग किया जाने वाला सॉफ़्टवेयर पारिस्थितिकी तंत्र शामिल है, विशेष रूप से क्लिक प्रोग्रामिंग सॉफ़्टवेयर (वर्कस्टेशन क्लाइंट) और एंड्रॉइड और आईओएस मोबाइल एप्लिकेशन।
ऑटोमेशनडायरेक्ट के क्लिक प्लस पीएलसी को विभिन्न औद्योगिक और वाणिज्यिक सेटिंग्स में तैनात किया गया है: फैक्ट्री-फ्लोर मशीनरी और बिल्डिंग-ऑटोमेशन सिस्टम से लेकर रिमोट प्रोसेस-कंट्रोल इंस्टॉलेशन और यहां तक कि मनोरंजन-पार्क राइड कंट्रोलर जैसे मनोरंजक सिस्टम तक। डिवाइस एक कॉम्पैक्ट प्रोग्रामेबल लॉजिक कंट्रोलर है जो लैडर-लॉजिक प्रोग्रामिंग, I/O विस्तार और ईथरनेट, वाई-फाई और ब्लूटूथ सहित कई संचार इंटरफेस का समर्थन करता है, जो स्थानीय नियंत्रण नेटवर्क और रिमोट/मोबाइल एप्लिकेशन के साथ एकीकरण को सक्षम बनाता है।
शोधकर्ताओं ने विस्तार से बताया कि वर्णित हमले श्रृंखला के लिए हमलावर को उस नेटवर्क तक पहुंचने की आवश्यकता होती है जिस पर पीएलसी संचालित होता है और उसके भीतर आदान-प्रदान किए गए पैकेटों की निगरानी करता है। “मानक परिचालन नियंत्रणों को आम तौर पर ऐसी पहुंच को रोकना चाहिए, लेकिन हमलावर अभी भी कई तरीकों से पैर जमा सकते हैं: नेटवर्क पोर्ट तक भौतिक पहुंच प्राप्त करके, एक उजागर रिमोट-रखरखाव इंटरफ़ेस का शोषण करके, पीएलसी नेटवर्क से जुड़े वर्कस्टेशन या औद्योगिक गेटवे से समझौता करके, या कमजोर नेटवर्क विभाजन और गलत कॉन्फ़िगर किए गए वीपीएन का दुरुपयोग करके। इनमें से कोई भी पैर जमाने से हमलावर को हमले की श्रृंखला शुरू करने और विनाशकारी व्यवहार को सक्षम करने की अनुमति मिल सकती है।”
“हमलावर पहले खुद को स्थापित करता है। एक बार ऐसी पहुंच स्थापित हो जाने के बाद, हमलावर खुद को नेटवर्क पर रखता है और निष्क्रिय रूप से ट्रैफ़िक की निगरानी करता है, पीएलसी से कनेक्ट करने के लिए एक ऑपरेटर (या मशीन) की प्रतीक्षा करता है,” नोज़ोमी शोधकर्ताओं ने नोट किया। “जैसे ही हमलावर को डिवाइस में लॉगिन का पता चलता है, वे एक्सचेंज किए गए ट्रैफ़िक का निरीक्षण करना शुरू कर देते हैं।”
क्लिक प्लस पीएलसी नेटवर्क पर अन्य उपकरणों के साथ संचार करने के लिए एक मालिकाना यूडीपी-आधारित प्रोटोकॉल का उपयोग करता है। “हालांकि यह प्रोटोकॉल एन्क्रिप्शन और प्रमाणीकरण प्रदान करने के लिए डिज़ाइन किया गया है, कार्यान्वयन संबंधी खामियां हमलावर को ट्रैफ़िक को डिक्रिप्ट करने और ऑपरेटर क्रेडेंशियल पुनर्प्राप्त करने की अनुमति देती हैं। इन क्रेडेंशियल्स के साथ, हमलावर पीएलसी को सफलतापूर्वक प्रमाणित कर सकता है।”
नोज़ोमी शोधकर्ताओं ने देखा कि हमलावर का लक्ष्य कन्वेयर बेल्ट के सामान्य व्यवहार को बदलकर कारखाने के संचालन को बाधित करना है, लेकिन ऐसा करने से पहले, वे रुकावट और अंधे एचएमआई और मॉनिटरिंग इंटरफेस से बचना चाहते हैं। “इस प्रकार, हमलावर दो अतिरिक्त प्रोटोकॉल दोषों का फायदा उठाता है जो उन्हें उपलब्ध सत्रों को संतृप्त करने की अनुमति देता है (सीवीई-2025-58473 और सीवीई-2025-57882 के रूप में ट्रैक किए गए मुद्दे)। हालांकि क्लिक प्लस उपकरणों को ब्लूटूथ के माध्यम से भी मॉनिटर किया जा सकता है, सीवीई-2025-57882 हमलावर को भौतिक निकटता की आवश्यकता के बिना नेटवर्क पर उन सत्रों को संतृप्त करने में सक्षम बनाता है।”
ऑपरेटर पहुंच प्रभावी रूप से अवरुद्ध होने के साथ, नोज़ोमी ने बताया कि हमलावर बिना किसी बाधा के काम कर सकता है और नियंत्रक द्वारा उजागर किए गए किसी भी I/O मान को पढ़/ओवरराइट कर सकता है। यह क्षमता CVE-2025-55038 के रूप में ट्रैक किए गए मुद्दे के कारण कम-विशेषाधिकार प्राप्त क्रेडेंशियल्स के साथ भी संभव हो सकती है। “नियंत्रक के I/O मानों में हेरफेर करके, हमलावर अंततः बेल्ट गति को बदल सकता है, सुरक्षा इंटरलॉक को ओवरराइड या अक्षम कर सकता है, और सेंसर रीडिंग को गलत साबित कर सकता है। ये क्रियाएं उत्पाद बैचों को नष्ट कर सकती हैं, उत्पादन रोक सकती हैं, और लाइन पर या उसके पास काम करने वाले ऑपरेटरों के लिए तत्काल शारीरिक खतरा पैदा कर सकती हैं।”
CLICK Plus उपकरणों में पहचानी गई कमजोरियाँ ICS ढांचे के लिए MITER ATT&CK में कई प्रभावों के अनुरूप हैं। प्रोटोकॉल की कमज़ोरियाँ हमलावरों को चाबियाँ पुनर्प्राप्त करने, क्रेडेंशियल्स को बाहर निकालने और I/O मानों को पढ़ने या अधिलेखित करने की अनुमति देती हैं। एक प्रमाणित प्रतिद्वंद्वी सेटपॉइंट बदल सकता है, आउटपुट फ़्लिप कर सकता है, या अनधिकृत नियंत्रण क्रियाएं जारी कर सकता है, जिससे संभावित रूप से कन्वेयर, पंप, या मनोरंजन-पार्क सवारी नियंत्रक जैसे उपकरणों में असुरक्षित या हानिकारक व्यवहार हो सकता है।
इसके अलावा, प्रोटोकॉल और सत्र प्रबंधन की खामियां हमलावरों को टेलीमेट्री और ऑपरेटर फीडबैक को बाधित करने में सक्षम बनाती हैं। वैध कनेक्शनों को अवरुद्ध करके, एक प्रतिद्वंद्वी दृश्य की निरंतर हानि पैदा कर सकता है, मैन्युअल हस्तक्षेप को मजबूर कर सकता है या वास्तविक सिस्टम स्थिति को छुपा सकता है, जिससे ऑपरेटर खतरनाक प्रक्रिया विचलन से अनजान हो सकते हैं।
अंत में, कमजोर क्रिप्टोग्राफी और पूर्वानुमेय कुंजी पीढ़ी एक हमलावर को निष्क्रिय रूप से ट्रैफ़िक को डिक्रिप्ट करने और संवेदनशील परिचालन डेटा (क्रेडेंशियल्स, सीढ़ी प्रोग्राम, कॉन्फ़िगरेशन फ़ाइलें, शेड्यूल, सेंसर लॉग) निकालने देती है। चुराई गई परिचालन जानकारी का उपयोग लक्षित अनुवर्ती हमलों, वाणिज्यिक जासूसी, या अधिक प्रभावशीलता के साथ विनाशकारी कार्यों की योजना बनाने के लिए किया जा सकता है।
ऑटोमेशनडायरेक्ट ने क्लिक प्लस फर्मवेयर और क्लिक प्रोग्रामिंग सॉफ्टवेयर के लिए सुरक्षा पैच के माध्यम से इन कमजोरियों को संबोधित किया है। सीआईएसए ने एक सुरक्षा रिपोर्ट प्रकाशित की। संपत्ति मालिकों और ऑपरेटरों से आग्रह किया जाता है कि वे प्रभावित वर्कस्टेशनों को क्लिक प्रोग्रामिंग सॉफ्टवेयर के नए संस्करण के साथ अपडेट करें; प्रभावित CLICK प्लस डिवाइसों को CLICK फर्मवेयर के नए संस्करण के साथ अपडेट करें, सिस्टम के एक्सपोज़र को सीमित करने के लिए नेटवर्क सेगमेंटेशन लागू करें, और कमजोर संपत्तियों की उपस्थिति के लिए नेटवर्क ट्रैफ़िक की निगरानी करें।
संगठनों को यह पहचानने में मदद करने के लिए कि क्या कमजोर फर्मवेयर वाले उपकरण उनके वातावरण में मौजूद हैं, परिसंपत्ति मालिक नोज़ोमी नेटवर्क ओटी/आईओटी सुरक्षा प्लेटफ़ॉर्म की उन्नत क्षमताओं पर भरोसा कर सकते हैं। प्लेटफ़ॉर्म नेटवर्क ट्रैफ़िक और होस्ट गतिविधियों में गहरी दृश्यता प्रदान करता है, जिससे ओटी नेटवर्क में प्रभावी भेद्यता और खतरे का पता लगाने में सक्षम होता है। इस तरह की सक्रिय निगरानी सुरक्षा टीमों को कमजोरियों और हमलों का प्रभावी ढंग से जवाब देने, महत्वपूर्ण नेटवर्क को लक्षित करने वाले हमलों के प्रभाव को कम करने में सक्षम बनाती है।
