0
0
S4x23 — Miami — À medida que as linhas de rede de TI e tecnologia operacional (TO) continuam a se confundir no setor industrial rapidamente digitalizado, novas vulnerabilidades e ameaças colocam em risco as medidas convencionais de segurança de TO que antes isolavam e protegiam processos físicos de ataques cibernéticos.
Dois novos conjuntos separados de pesquisa divulgados este mês destacam perigos reais e ocultos para as operações físicas nas redes OT atuais de dispositivos sem fio, aplicativos baseados em nuvem e redes aninhadas de controladores lógicos programáveis (PLCs) – efetivamente dissipando ainda mais a sabedoria convencional sobre a segurança de segmentação de rede, bem como conexões de terceiros à rede.
Em um conjunto de descobertas, uma equipe de pesquisa da Forescout Technologies foi capaz de contornar as proteções de segurança e funcionais em uma rede OT e mover-se lateralmente por diferentes segmentos de rede nos níveis mais baixos da rede: o nível do controlador (também conhecido como Purdue nível 1), onde Os PLCs vivem e executam as operações físicas de uma planta industrial. Os pesquisadores usaram duas vulnerabilidades recém-divulgadas do Schneider Modicon M340 PLC que encontraram – uma falha de execução remota de código (RCE) e uma vulnerabilidade de desvio de autenticação – para violar o PLC e levar o ataque para o próximo nível, girando do PLC para seus dispositivos conectados a fim de manipulá-los para realizar operações físicas nefastas.
“Estamos tentando dissipar a noção de que você ouve entre os proprietários de ativos e outras partes que os dispositivos de Nível 1 e as redes de Nível 1 são de alguma forma diferentes das redes Ethernet regulares e Windows [máquinas] e que você não pode passar por eles de maneiras muito semelhantes”, disse. diz Jos Wetzels, pesquisador de segurança da Forescout. “Esses sistemas são acessíveis e você pode ignorar as verificações de segurança se tiver o nível certo de controle. Estamos mostrando como fazer isso.”
A sequência de ataque altamente complexa que os pesquisadores demonstraram com uma prova de conceito (PoC) – e que eles reconhecem que exigiria os recursos técnicos e os recursos de atacantes de estado-nação – contrasta fortemente com um novo hack relativamente simples que outro grupo de pesquisadores conseguiram expor plantas por meio de dispositivos de rede sem fio. Esses dois conjuntos separados de descobertas de ataques OT abrem brechas nas suposições tradicionais de segurança inerente nas camadas inferiores das redes OT, e as duas equipes de pesquisadores por trás deles compartilharam suas descobertas aqui esta semana na conferência S4x23 ICS/OT.
Ameaça sem fio “chamou nossa atenção”
No segundo lote de pesquisa, uma equipe do provedor de segurança ICS Otorio encontrou cerca de 38 vulnerabilidades em produtos, incluindo roteadores celulares da Sierra Wireless e InHand Networks , e um servidor de acesso remoto para máquinas da ETIC Telecom . Uma dúzia de outros bugs permanecem no processo de divulgação com os fornecedores afetados e não foram identificados no relatório.
As falhas incluem duas dúzias de bugs na interface da Web que podem dar a um invasor uma linha direta de acesso às redes OT.
Matan Dobrushin, vice-presidente de pesquisa da Otorio, diz que sua equipe usou a ferramenta WiGLE de código aberto, um aplicativo de pesquisa no estilo Shodan que localiza e mapeia pontos de acesso sem fio em todo o mundo. O WiGLE coleta SSID ou nomes de rede, tipos de criptografia (como WEP ou WPA) e a geolocalização de um ponto de acesso sem fio. A equipe conseguiu localizar vários sites OT por meio dos Aps geolocalizados que o WiGL detectou, incluindo um poço de petróleo com autenticação fraca para seu dispositivo sem fio.
A equipe descobriu maneiras relativamente simples de um ataque hackear pontos de acesso Wi-Fi industriais e gateways de celular e realizar ataques man-in-the-middle para manipular ou sabotar máquinas físicas em locais de produção. Em um cenário de ataque, os pesquisadores colocam, um invasor armado com um laptop pode encontrar e dirigir até um local de fábrica e conectar-se à rede operacional.
“Você não precisa passar por todas as camadas da rede corporativa de TI ou firewalls. Neste exemplo, alguém pode vir com um laptop e se conectar diretamente à parte física mais sensível dessa rede”, diz Dobrushin . “Foi isso que chamou nossa atenção.”
A proximidade física é apenas um dos três cenários de ataque que a equipe descobriu quando encontrou as vulnerabilidades nesses dispositivos sem fio. Eles também podem alcançar os dispositivos sem fio da fábrica por meio de endereços IP frequentemente expostos e abertos inadvertidamente à Internet pública. Mas o terceiro e mais surpreendente cenário de ataque que eles encontraram: eles poderiam alcançar as redes OT por meio de interfaces de gerenciamento baseadas em nuvem flagrantemente inseguras nos pontos de acesso sem fio.
Muitos dos dispositivos que vêm com gerenciamento baseado em nuvem também contêm interfaces com autenticação muito fraca ou nenhuma autenticação. O InRouter302 e o InRouter615 da InHand Networks, por exemplo, usam um link de comunicação não seguro para a plataforma de nuvem por padrão, enviando informações em texto não criptografado.
“É um ponto único de segurança e falha”, diz Dobrushin sobre as interfaces de gerenciamento fracas e “a principal superfície de ataque” para pontos de acesso sem fio da fábrica.
A responsabilidade recai sobre os fornecedores de dispositivos sem fio para proteger melhor suas interfaces da Web. “Acho que o maior ponto de falha aqui não é o wireless em si, nem a nuvem em si: é o ponto de integração entre a nuvem e o mundo moderno baseado na Web, para o velho mundo industrial. Esses pontos de integração não são fortes o suficiente.”
Por exemplo, uma vulnerabilidade RCE na interface da Web AceManager do Sierra Wireless Airlink pode permitir que um invasor injete comandos maliciosos. A vulnerabilidade realmente ignora um patch anterior que a Sierra emitiu em abril de 2019 para outro bug, de acordo com Otorio.
Pesquisa de Movimento Lateral
A pesquisa de Forescout, entretanto, também mostra como Purdue Nível 1 de uma segurança de rede OT não é tão hermético quanto muitas organizações industriais acreditam. As descobertas da empresa demonstram como um agente de ameaça pode espalhar um ataque em vários segmentos de rede e tipos de redes no Nível 1 Purdue/nível do controlador da rede OT.
Em seu ataque de prova de conceito, os pesquisadores primeiro hackearam um dispositivo acoplador Wago para alcançar o PLC Schneider M340. Assim que chegaram ao PLC, eles empregaram duas vulnerabilidades recém-divulgadas que encontraram pela primeira vez no ano passado como parte do conjunto de vulnerabilidades OT:ICEFALL, mas não puderam revelar até que Schneider as corrigisse, CVE-2022-45788 (execução remota de código) e CVE-2022-45789 (desvio de autenticação). Isso permitiu que eles contornassem o protocolo de autenticação interna do PLC e passassem pelo PLC para outros dispositivos conectados, incluindo um sistema de controle de segurança Allen-Bradley GuardLogix que protege os sistemas da fábrica, garantindo que eles operem em um estado físico seguro. Em seguida, eles foram capazes de manipular os sistemas de segurança no backplane GuardLogix.
O que diferencia suas descobertas é que ele analisa o movimento lateral não apenas entre dispositivos de nível 1 no mesmo segmento de rede ou para sistemas SCADA de camada 2, mas se espalhando por dispositivos e redes aninhados na camada 1. E, ao contrário da pesquisa anterior de PLC, Wetzels e Daniel dos Santos, chefe de pesquisa de segurança da Forescout, não apenas invadiu um PLC por meio de uma vulnerabilidade inerente. Em vez disso, eles giraram do PLC para outros sistemas conectados a ele, a fim de contornar as verificações de segurança física e de segurança nos sistemas OT.
“Não estamos apenas falando diretamente [com] um dos PLCs. Estamos nos movendo para todos os dispositivos existentes atrás dele para contornar as restrições funcionais e de segurança” do PLC que fariam com que o dispositivo parasse ou encerrasse o processo, diz Wetzels. “Ou posso manipular o PLC e causar dano físico.”
Wetzels diz que alguns fornecedores fornecem orientações incorretas para operadores OT que afirmam que “aninhar” PLCs por meio de links seriais ou protocolos OT não roteáveis fornece segmentação segura para esses dispositivos e a rede OT. “Estamos demonstrando que esta é uma linha de raciocínio falha contra um certo tipo de invasor”, diz ele. Os pesquisadores mostram que todos os dispositivos – controladores de válvulas e sensores, por exemplo – que residem sob o PLC em outras redes atrás dele também podem ser expostos e fornecer a um invasor um controle mais detalhado dos sistemas.
“Se você deseja manipular [os processos físicos] em um nível profundo, você se aprofunda nessas redes”, diz ele.
Outro elo fraco e frequentemente negligenciado são as conexões de rede com provedores de manutenção terceirizados, por exemplo, para HVAC ou estação de tratamento de água. O empreiteiro de manutenção geralmente tem uma conexão remota com seu sistema integrado, que faz interface com a rede OT. “O perímetro externo que existe no Nível 1 não é reforçado ou monitorado”, explica Wetzels.
Como se defender contra essas ameaças à OT
Wetzels e dos Santos , da Forescout, recomendam que as operadoras de OT reavaliem o estado de seus dispositivos de nível 1 e interconectividade. “Certifique-se de que nada pode ser desabilitado por meios cibernéticos”, aconselha Wetzels.
Ele também recomenda que plantas com links Ethernet que não tenham firewall devem adicionar um firewall. E, pelo menos, garanta a visibilidade do tráfego com um sistema de detecção de intrusão, diz ele. Se os PLCs incluírem lista de controle de acesso (ACL) baseada em IP e funções de inspeção forense, implemente-os para fortalecer os dispositivos, diz ele.
“Provavelmente há muito espaço de rastreamento de rede que não está no seu radar”, disse Wetzels hoje em sua apresentação aqui. “No nível 1, entre diferentes segmentos [de rede] é necessário um perfil de segurança de perímetro.”
Quanto às vulnerabilidades e ataques do ponto de acesso sem fio revelados por Otorio, os pesquisadores recomendam desabilitar a criptografia fraca em dispositivos de acesso sem fio, mascarar os dispositivos sem fio publicamente ou, pelo menos, colocar na lista de permissões os dispositivos autorizados e garantir uma autenticação forte para dispositivos baseados em IP.
Eles também aconselham desabilitar serviços baseados em nuvem não utilizados, que normalmente estão ativados por padrão, e firewall e/ou adicionar túneis de rede privada virtual (VPN) entre as conexões.
Tom Winston, diretor de conteúdo de inteligência da Dragos, diz que os pontos de acesso sem fio na rede industrial devem usar autenticação multifator. “O controle de acesso é sempre uma preocupação.”
FONTE: DARK READING