Quando le reti IoT industriali non sono segmentate, causano problemi Guarda ora
Le vulnerabilità della sicurezza nei protocolli di comunicazione utilizzati dai sistemi di controllo industriale potrebbero consentire agli aggressori informatici di manomettere o interrompere i servizi, nonché di accedere ai dati sulla rete.
Soprannominato INFRA:HALT, il set di 14 vulnerabilità di sicurezza è stato dettagliato dai ricercatori di sicurezza informatica di Forescout Research Labs e JFrog Security Research, che avvertono che se non vengono controllati, i difetti potrebbero consentire l'esecuzione di codice remoto, negazione di servizio o persino perdite di informazioni.
Tutte le vulnerabilità riguardano gli stack TCP/IP – protocolli di comunicazione comunemente utilizzati nei dispositivi connessi – in NicheStack, utilizzati in tutta la tecnologia operativa (OT) e l'infrastruttura industriale.
Alcune delle vulnerabilità scoperte di recente hanno più di 20 anni, un problema comune nella tecnologia operativa, che spesso gira ancora su protocolli sviluppati e prodotti anni fa. Oltre 200 fornitori, tra cui Siemens, utilizzano le librerie NicheStack e si consiglia agli utenti di applicare le patch di sicurezza.
Forescout ha dettagliato ciascuna delle vulnerabilità in un post sul blog – sono correlate a processi di pacchetti non validi che consentono a un utente malintenzionato di inviare istruzioni per leggere o scrivere su parti della memoria che non dovrebbe. Ciò può causare il crash del dispositivo e interrompere le reti, oltre a consentire agli aggressori di creare codice shell per eseguire azioni dannose, incluso prendere il controllo del dispositivo.
La divulgazione delle vulnerabilità appena scoperte è la continuazione del Progetto Memoria, l'iniziativa di ricerca di Forescout che esamina le vulnerabilità negli stack TCP/IP e come mitigarle. Le vulnerabilità INFRA:HALT sono state scoperte grazie alla ricerca in corso.
Tutte le versioni di NicheStack precedenti alla versione 4.3, inclusa NicheLite, sono interessate dalle vulnerabilità, che sono state divulgate a HCC Embedded, che ha acquisito NicheStack nel 2016.
VEDERE: Impresa con sensori: IoT, ML e big data (rapporto speciale ZDNet) | Scarica il rapporto in formato PDF(TechRepublic)
L'intera portata dei dispositivi OT vulnerabili è incerta, ma i ricercatori sono stati in grado di identificare oltre 6.400 dispositivi vulnerabili utilizzando Shodan, la ricerca su Internet delle cose motore.
“Quando hai a che fare con la tecnologia operativa, l'arresto anomalo dei dispositivi e dei sistemi può avere diverse gravi conseguenze. In questi casi ci sono anche possibilità di esecuzione di codice remoto, vulnerabilità che consentirebbero all'attaccante di prendere il controllo di un dispositivo e non solo di arrestarsi ma farlo comportare in un modo in cui non è destinato o utilizzarlo per ruotare all'interno della rete”, ha detto a ZDNet Daniel dos Santos, responsabile della ricerca presso i laboratori di ricerca Forescout
Per l'esecuzione di codice remoto, gli aggressori avrebbero bisogno avere una conoscenza dettagliata dei sistemi, ma il crash del dispositivo è uno strumento brusco, più facile da usare e che potrebbe avere conseguenze significative, soprattutto se i dispositivi aiutano a controllare o monitorare infrastrutture critiche.
Forescout e JFrog Security Research hanno contattato HCC Embedded per divulgare le vulnerabilità, oltre a contattare il CERT nell'ambito del processo coordinato di divulgazione delle vulnerabilità. HCC Embedded ha confermato che Forescout li ha contattati in merito alle vulnerabilità e che sono state rilasciate patch per mitigarle.
“Abbiamo corretto queste vulnerabilità negli ultimi sei mesi circa e abbiamo rilasciato correzioni per ogni cliente che mantiene il proprio software”, ha detto a ZDNet Dave Hughes, CEO di HCC Embedded, aggiungendo che se gli ambienti sono configurati correttamente, è improbabile che gli aggressori potrebbe programmare l'impianto o prendere il controllo dei dispositivi.
“Queste sono vere vulnerabilità, sono punti deboli nello stack. Tuttavia, la maggior parte di esse dipende estremamente da come utilizzi il software e da come lo integri per verificare se puoi sperimentare queste cose.
“Se hanno un dipartimento di sicurezza che comprende l'avvelenamento del DNS e cose del genere, non saranno affatto vulnerabili perché hanno configurato le cose in modo sicuro”, ha detto Hughes.
I ricercatori hanno anche contattato le agenzie di coordinamento, tra cui il CERT Coordination Center, BSI (l'autorità federale tedesca per la sicurezza informatica) e ICS-CERT (il team di risposta alle emergenze informatica dei sistemi di controllo industriale) in merito alle vulnerabilità. Siemens ha anche emesso un avviso sulle vulnerabilità, sebbene solo quattro delle vulnerabilità interessino i prodotti Siemens.
Per aiutare a proteggere la tecnologia operativa da qualsiasi tipo di attacco informatico, i ricercatori di Forescout raccomandano di mettere in atto la segmentazione della rete, in modo che la tecnologia operativa che non ha bisogno di essere esposta a Internet non possa essere scoperta da remoto – e la tecnologia che non lo fa Non è affatto necessario essere connessi a Internet si trova su una rete separata e con air gap.
Forescout ha rilasciato uno script open source per rilevare i dispositivi che eseguono NicheStack per fornire visibilità sulle reti e proteggerle.
ALTRO SULLA CYBERSECURITY
La chiave per fermare gli attacchi informatici? Comprendere i propri sistemi prima dell'attacco degli hackerLa produzione sta diventando un obiettivo importante per gli attacchi ransomwareL'hacking della pipeline coloniale espone crepe nella difesa energetica degli Stati Uniti contro gli attacchi informaticiRansomware le bande stanno prendendo di mira i sistemi di controllo industriale “soft target”MITRE annuncia le prime valutazioni degli strumenti di sicurezza informatica per i sistemi di controllo industriale
Argomenti correlati:
Security TV Data Management CXO Data Centri 