0
0
Bancos de dados são um ponto comum de ataque por agentes de ameaças, mas um tipo incomum de banco de dados está ganhando atenção como um alvo potencialmente crítico: servidores de historiadores de dados.
Em 17 de janeiro, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que um conjunto de cinco vulnerabilidades encontradas no servidor GE Proficy Historian poderia deixar os servidores sem patches vulneráveis à exploração de controles de acesso inadequados e ao upload de arquivos perigosos. A GE não está sozinha: no passado, os pesquisadores de segurança encontraram problemas de segurança no servidor da Web Vijeo Historian da Schneider Electric e no SIMATIC Process Historian da Siemens.
Os servidores podem ser usados como uma ponte entre a rede de tecnologia da informação (TI) de uma organização e sua rede de tecnologia operacional (OT), afirmou Uri Katz, pesquisador de segurança da empresa de segurança cibernética Team82 da Claroty em seu comunicado sobre as vulnerabilidades do GE Proficy.
“[Devido] à sua posição única entre as redes de TI e OT, os invasores têm como alvo o historiador e podem usá-lo como um ponto central na rede OT”, disse Katz, acrescentando que “os historiadores geralmente contêm dados valiosos sobre processos, incluindo dados sobre controle de processo, desempenho e manutenção.”
Servidores de historiadores de dados — também chamados de historiadores operacionais ou historiadores de processo — oferecem às empresas a capacidade de monitorar e analisar dados de seus sistemas de controle industrial e redes de dispositivos físicos. Essencialmente um data lake para armazenar dados de séries temporais em um ambiente industrial, os historiadores coletam informações em tempo real sobre infraestrutura crítica, fabricação e operações.
Para os invasores, no entanto, o servidor do historiador representa uma ponte oportunista entre os segmentos de TI e OT de uma rede, porque normalmente é um banco de dados centralizado conectado a ambos. Por causa disso, os servidores de historiadores foram identificados como um provável alvo de ataque em redes ICS, incluindo ataques de adversário no meio e ataques de injeção de banco de dados, de acordo com a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) .
DMZ
Embora a combinação de redes de TI e OT possa tornar a tecnologia industrial mais ágil e econômica, “estratégias de integração de várias redes geralmente levam a vulnerabilidades que reduzem muito a segurança de uma organização e podem expor sistemas de controle de missão crítica a ameaças cibernéticas”, afirmou a CISA em seu documento de estratégias de defesa de segurança cibernética em profundidade de sistemas de controle .
Embora apenas um dos quatro avisos para sistemas de controle industrial publicados pela agência em 17 de janeiro tenha a ver com servidores de historiadores, a CISA alertou no passado sobre servidores de historiadores vulneráveis, comoHistoriador de processos SIMATIC da Siemens em 2021. Em sua encarnação anterior como ICS-CERT, a organização também alertou sobre senhas padrão emWonderware Historian da Schneider Electric em 2017 e vulnerabilidades no Vijeo Historian Web Server da Schneider Electric em 2013.
O grupo de pesquisa Team 82 da Claroty instalou o software do historiador, enumerou a estrutura das mensagens que ele usa para comunicação e procurou desvios de autenticação para comprometer o servidor. Ele encontrou vulnerabilidades que podem permitir que um invasor ignore a autenticação, exclua uma biblioteca de códigos, substitua a biblioteca por um código malicioso e, em seguida, execute esse código.
Até agora, nenhum ataque usando um servidor de historiadores causou uma violação divulgada, disse Katz, da Claroty, em entrevista por e-mail. No entanto, os servidores de historiadores representam uma interconexão entre redes operacionais e de informação que provavelmente serão exploradas no futuro, acrescentou.
“Servidores de histórico geralmente não são voltados para a Internet, mas geralmente estão localizados na camada DMZ entre a rede corporativa e a rede OT”, disse ele. “Algumas das vulnerabilidades podem ser encadeadas para ignorar a autenticação e obter a execução remota de código pré-autenticação”.
Aulas de história
As organizações industriais e de infraestrutura crítica devem incluir servidores históricos em seu planejamento de segurança cibernética, dizem os especialistas. Em uma lista de cinco cenários que as empresas devem executar como exercícios de mesa do sistema de controle industrial (ICS), o Dean Parsons do SANS Institute incluiu uma violação que usa um historiador de dados para coletar dados em dispositivos e controles sensíveis.
“Um conjunto de credenciais comprometidas do Active Directory de TI [poderia ser] usado para acessar o Data Historian e, em seguida, girar para o ambiente de controle industrial”, disse Parsons, que também é CEO e principal consultor da ICS Defense Force. “É fundamental que as redes ICS sejam segmentadas da Internet e da rede de negócios de TI.”
As organizações devem garantir que os servidores de historiadores estejam atualizados e separados de outras partes da rede, disse Katz, da Claroty. “A segmentação de rede é… uma mitigação que pode ajudar contra essas vulnerabilidades e evitar que os invasores as usem como um ponto central de TI para OT”, diz ele.
Alguns fornecedores de segurança cibernética do ICS, como Waterfall Security e Clarify, limitam o acesso aos servidores do historiador. Em vez disso, eles clonam o sistema no segmento de rede de TI ou oferecem um serviço intermediário, permitindo que engenheiros e técnicos acessem os dados enquanto impedem que invasores executem códigos ou alterem dados.
FONTE: DARK READING