La società di sicurezza informatica Nozomi Networks Labs ha avvertito la comunità di sicurezza del sistema di controllo industriale (ICS) di cinque vulnerabilità che interessano i PLC di sicurezza Mitsubishi.
In un nuovo rapporto, la società ha affermato che Mitsubishi ha riconosciuto i problemi, incentrati sull'implementazione dell'autenticazione del protocollo di comunicazione MELSOFT, dopo che sono stati scoperti alla fine del 2020.
Il gigante manifatturiero giapponese ha ideato una strategia per risolvere i problemi, ma Nozomi Networks Labs ha affermato che gli aggiornamenti software per PLC di sicurezza o dispositivi medici spesso richiedono più tempo per l'implementazione rispetto ad altri prodotti software. I fornitori devono passare attraverso specifici processi di certificazione prima che le patch possano essere rilasciate, spiega il rapporto.
“A seconda del tipo di dispositivo e del quadro normativo, la procedura di certificazione potrebbe essere richiesta per ogni singolo aggiornamento software”, hanno scritto i ricercatori di Nozomi Networks Labs.
“In attesa del completamento del processo di sviluppo e distribuzione delle patch, abbiamo implementato la logica di rilevamento per i clienti del nostro servizio Threat Intelligence. Allo stesso tempo, abbiamo iniziato a ricercare strategie di rilevamento più generali da condividere con i proprietari delle risorse e la comunità di sicurezza ICS in generale .”
I ricercatori hanno notato che le vulnerabilità che hanno trovato “probabili” interessano più di un fornitore e si sono detti preoccupati che “i proprietari di asset potrebbero dipendere eccessivamente dalla sicurezza degli schemi di autenticazione imbullonati ai protocolli OT, senza conoscere i dettagli tecnici e i modelli di errore”. di queste implementazioni.”
La società di sicurezza ha rivelato il primo lotto di vulnerabilità tramite ICS-CERT nel gennaio 2021 e un altro lotto più di recente, ma le patch non sono ancora disponibili.
Mitsubishi ha rilasciato una serie di mitigazioni e Nozomi Networks Labs ha invitato i clienti a valutare il proprio stato di sicurezza alla luce degli avvisi.
Il rapporto tralascia specificamente i dettagli tecnici o i documenti di prova del concetto nel tentativo di proteggere i sistemi che sono ancora in fase di protezione.
I ricercatori hanno scoperto le vulnerabilità durante la ricerca su MELSOFT, che viene utilizzato come protocollo di comunicazione dai PLC di sicurezza Mitsubishi e dal corrispondente software di workstation di ingegneria GX Works3.
Hanno scoperto che l'autenticazione con MELSOFT sulla porta TCP 5007 è implementata con una coppia nome utente/password, che in alcuni casi è “efficacemente forzata”.
Il team ha testato diversi metodi che hanno dato loro accesso ai sistemi e ha scoperto che ci sono persino casi in cui gli aggressori possono riutilizzare i token di sessione generati dopo l'autenticazione riuscita.
“Un utente malintenzionato che può leggere un singolo comando privilegiato contenente un token di sessione. è in grado di riutilizzare questo token da un IP diverso dopo che è stato generato, entro una finestra di poche ore”, afferma il rapporto.
“Se concateniamo alcune delle vulnerabilità identificate, emergono diversi scenari di attacco. È importante comprendere questo approccio poiché gli attacchi del mondo reale vengono spesso eseguiti sfruttando diverse vulnerabilità per raggiungere l'obiettivo finale”.
Una volta che un utente malintenzionato ottiene l'accesso a un sistema, può adottare misure per bloccare gli altri utenti, forzando l'ultima possibilità di spegnere fisicamente il PLC per prevenire ulteriori danni.
Nozomi Networks Labs ha suggerito ai proprietari delle risorse di proteggere il collegamento tra la workstation di progettazione e il PLC in modo che un utente malintenzionato non possa accedere all'autenticazione MELSOFT o ai pacchetti autenticati in chiaro.
Suggeriscono inoltre di proteggere l'accesso al PLC in modo che un utente malintenzionato non possa scambiare attivamente pacchetti di autenticazione con il PLC.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: È economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Priorità IT Sicurezza TV Data Management CXO Data Center 