0
0
A Schneider Electric lançou esta semana avisos sobre vulnerabilidades que impactam vários produtos, incluindo falhas que podem ser exploradas para assumir o controle dos controladores lógicos programáveis Modicon M221 (PLCs).
Um total de quatro vulnerabilidades foram descobertas em PLCs Modicon M221 por pesquisadores da empresa industrial de cibersegurança Claroty. Três deles foram identificados independentemente por funcionários da empresa de cibersegurança Trustwave. Tanto a Trustwave quanto a Claroty publicaram posts no blog detalhando suas descobertas.
As falhas de segurança, três das quais foram classificadas de alta gravidade por Schneider, estão relacionadas à criptografia e autenticação. A gigante industrial francesa compartilhou algumas recomendações que os clientes podem implementar para reduzir o risco de ataques.
Karl Sigler, gerente sênior de inteligência de ameaças da Trustwave, disse à SecurityWeek que um invasor precisa ter uma base na rede OT para explorar qualquer uma das vulnerabilidades.
“Ao contornar as proteções de autenticação e ter acesso direto para manipular o PLC, um invasor poderia assumir o controle completo das ações do PLC, o que poderia ser catastrófico dependendo do tipo de ambiente OT que o PLC é implantado”, explicou Sigler. “Isso poderia potencialmente levar a uma falha completa dos sistemas de controle ou situações perigosas em que a segurança dos sistemas está comprometida.”
Yehuda Anikster, pesquisadora sênior da Claroty, disse à SecurityWeek que a exploração das vulnerabilidades requer a captura de tráfego entre o software de engenharia EcoStruxure Machine e o PLC alvo.
“Os invasores precisariam então esperar um engenheiro ou técnico se conectar e digitar uma senha ou realizar operações de download/upload no M221 usando o software de engenharia”, disse Anikster. “Nesta fase, os invasores têm tudo o que precisam e agora podem extrair a chave de criptografia do tráfego de rede capturado, a fim de descriptografar as senhas de leitura/gravação do tráfego.”
“Depois que os invasores obtiveram as senhas de leitura/gravação, eles podem fazer o que quiserem para o PLC M221 como se fossem os próprios engenheiros. Isso inclui o upload do programa do M221, o download (e a sobreescrita) de um programa para o M221, a alteração das senhas de leitura/gravação, a parada/início do M221 e muito mais”, acrescentou o pesquisador. “Por exemplo, os atacantes podem extrair todo o código em execução no M221s, roubando a lógica do processo de controle da empresa. Outro cenário potencial é os atacantes excluindo todo o código e alterando todas as senhas dos M221s, bloqueando todo o acesso aos dispositivos e tornando os PLCs inutilizáveis em um ataque de negação de serviço. Além disso, os atacantes astutos poderiam realizar um ataque semelhante ao Stuxnet e alterar ligeiramente o código dos M221s para causar estragos nos dispositivos da empresa.”
A Schneider Electric também informou os clientes esta semana sobre vulnerabilidades críticas e de alta gravidade que afetam seu produto PLC Simulator, incluindo aqueles que podem ser explorados para execução arbitrária de comando e ataques do DoS.
Ele também alertou para uma falha crítica no RTU Easergy T300, que pode permitir a execução de comando e ataques do DoS, e várias vulnerabilidades de execução de código remoto de alta gravidade que afetam o produto IGSS (Interactive Graphical SCADA System, sistema SCADA) gráfica interativa.
O fornecedor também aconselhou os clientes a aplicar medidas de defesa em profundidade para proteger os dispositivos Q Data Radio e J Data Radio contra o Drovorub, um malware ligado à Rússia que foi recentemente detalhado pela NSA e pelo FBI.
FONTE: SECURITY WEEK