S4x23 — Miami — A medida que las líneas de red de TI y tecnología operativa (OT) continúan desdibujándose en el sector industrial rápidamente digitalizado, nuevas vulnerabilidades y amenazas ponen en peligro las medidas de seguridad de OT convencionales que alguna vez aislaron y protegieron los procesos físicos de los ataques cibernéticos.
Dos nuevos conjuntos separados de investigación publicados este mes subrayan los peligros reales y ocultos para las operaciones físicas en las redes OT de hoy en día a partir de dispositivos inalámbricos, aplicaciones basadas en la nube y redes anidadas de controladores lógicos programables (PLC), disipando aún más la sabiduría convencional sobre la seguridad de segmentación de la red, así como conexiones de terceros a la red.
En un conjunto de hallazgos, un equipo de investigación de Forescout Technologies pudo eludir las barreras de seguridad y funcionales en una red OT y moverse lateralmente a través de diferentes segmentos de red en los niveles más bajos de la red: el nivel del controlador (también conocido como nivel 1 de Purdue), donde Los PLC viven y ejecutan las operaciones físicas de una planta industrial. Los investigadores utilizaron dos vulnerabilidades del PLC Schneider Modicon M340 recientemente reveladas que encontraron: una falla de ejecución remota de código (RCE) y una vulnerabilidad de omisión de autenticación, para violar el autómata y lleve el ataque al siguiente nivel pasando del PLC a sus dispositivos conectados para manipularlos y realizar operaciones físicas nefastas.
“Estamos tratando de disipar la noción que escuchas entre los propietarios de activos y otras partes de que los dispositivos de Nivel 1 y las redes de Nivel 1 son de alguna manera diferentes de las redes Ethernet normales y las [máquinas] de Windows y que no puedes moverte a través de ellas de manera muy similar”. dice Jos Wetzels, investigador de seguridad de Forescout. “Estos sistemas son accesibles y puede omitir los controles de seguridad si tiene el nivel de control adecuado. Estamos mostrando cómo hacer esto”.
El secuencia de ataque altamente compleja que los investigadores demostraron con una prueba de concepto (PoC), y que reconocen que requeriría las habilidades técnicas y los recursos de los atacantes del estado-nación, contrasta marcadamente con un nuevo truco relativamente simple que logró otro grupo de investigadores que expone las plantas a través de la conexión inalámbrica. dispositivos de red. Ambos conjuntos separados de hallazgos de ataques OT abren brechas en los supuestos tradicionales de seguridad inherente en las capas inferiores de las redes OT, y los dos equipos de investigadores detrás de ellos compartieron sus hallazgos aquí esta semana en la conferencia S4x23 ICS/OT.
La amenaza inalámbrica "llamó nuestra atención"
En el segundo lote de investigación, un equipo del proveedor de seguridad de ICS Otorio encontró unas 38 vulnerabilidades en productos que incluyen celulares enrutadores de Sierra Wireless y Redes InHand, Y un servidor de acceso remoto para máquinas de ETIC Telecom. Una docena de otros errores permanecen en el proceso de divulgación con los proveedores afectados y no se mencionaron en el informe.
Las fallas incluyen dos docenas de errores en la interfaz web que podrían dar a un atacante una línea directa de acceso a las redes OT.
Matan Dobrushin, vicepresidente de investigación de Otorio, dice que su equipo usó la herramienta de código abierto WiGLE, una aplicación de búsqueda al estilo de Shodan que ubica y mapea puntos de acceso inalámbrico en todo el mundo. WiGLE recopila SSID o nombres de red, tipos de cifrado (como WEP o WPA) y la ubicación geográfica de un punto de acceso inalámbrico. El equipo pudo ubicar varios sitios de OT a través de los Aps geolocalizados que detectó WiGL, incluido un pozo de petróleo con autenticación débil en su dispositivo inalámbrico.
El equipo descubrió formas relativamente simples para que un ataque piratee puntos de acceso Wi-Fi industriales. y puertas de enlace celulares y realizar ataques man-in-the-middle para manipular o sabotear la maquinaria física en los sitios de producción. En un escenario de ataque, plantean los investigadores, un atacante armado con una computadora portátil podría encontrar y conducir hasta la ubicación de una planta y conectarse a la red operativa.
“No es necesario pasar por todas las capas de la red de TI de la empresa o los firewalls. En este ejemplo, alguien puede simplemente venir con una computadora portátil y conectarse directamente a la parte física más sensible de esa red”. dobrushin dice. “Esto es lo que nos llamó la atención”.
La proximidad física es solo uno de los tres escenarios de ataque que descubrió el equipo cuando encontraron las vulnerabilidades en estos dispositivos inalámbricos. También podrían llegar a los dispositivos inalámbricos de la planta a través de direcciones IP frecuentemente expuestas que se abren inadvertidamente a la Internet pública. Pero el tercer y más sorprendente escenario de ataque que encontraron: podrían llegar a las redes OT a través de interfaces de administración basadas en la nube descaradamente inseguras en los puntos de acceso inalámbrico.
Muchos de los dispositivos que vienen con administración basada en la nube también contienen interfaces con autenticación muy débil o sin autenticación. InHand Networks' InRouter302 e InRouter615, por ejemplo, utilizan un enlace de comunicaciones no seguro a la plataforma en la nube de forma predeterminada, enviando información en texto claro.
“Es un único punto de seguridad y falla”, dice Dobrushin sobre las débiles interfaces de administración y “la principal superficie de ataque” para los puntos de acceso inalámbrico de la planta.
La responsabilidad recae en los proveedores de dispositivos inalámbricos para proteger mejor sus interfaces web. “Creo que el mayor punto de falla aquí no es la tecnología inalámbrica en sí misma, ni la nube en sí misma: es el punto de integración entre la nube y el mundo moderno basado en la Web, con el antiguo mundo industrial. Estos puntos de integración no son lo suficientemente fuertes”.
Por ejemplo, una vulnerabilidad RCE en la interfaz web AceManager de Sierra Wireless Airlink podría permitir que un atacante inyecte comandos maliciosos. La vulnerabilidad en realidad pasa por alto un parche anterior que Sierra había emitido en abril de 2019 para otro error, según Otorio.
Investigación de movimiento lateral
Mientras tanto, la investigación de Forescout también muestra cómo el Nivel 1 de Purdue de una seguridad de red OT no es tan hermético como creen muchas organizaciones industriales. Los hallazgos de la compañía demuestran cómo un actor de amenazas podría propagar un ataque a través de varios segmentos de red y tipos de redes en el Nivel 1 de Purdue/nivel de controlador de la red OT.
En su ataque de prueba de concepto, los investigadores piratearon primero un dispositivo acoplador Wago para llegar al PLC Schneider M340. Una vez que llegaron al PLC, emplearon dos vulnerabilidades recientemente reveladas que encontraron por primera vez el año pasado como parte del OT: ICEFALL conjunto de vulnerabilidades pero no pudieron revelar hasta que Schneider los reparó, CVE-2022-45788 (ejecución remota de código) y CVE-2022-45789 (bypass de autenticación). Eso les permitió eludir el protocolo de autenticación interno del PLC y moverse a través del PLC hacia otros dispositivos conectados, incluido un sistema de control de seguridad Allen-Bradley GuardLogix que protege los sistemas de la planta al garantizar que operen en un estado físico seguro. Luego pudieron manipular los sistemas de seguridad en el backplane GuardLogix.
Lo que diferencia sus hallazgos es que analiza el movimiento lateral no solo entre dispositivos de Nivel 1 en el mismo segmento de red o a sistemas SCADA de Capa 2, sino que se extiende a través de dispositivos anidados y redes en Capa 1. Y a diferencia de investigaciones anteriores de PLC, Wetzels y Daniel dos Santos, jefe de investigación de seguridad de Forescout, no solo pirateó un PLC a través de una vulnerabilidad inherente. En su lugar, giraron del PLC a otros sistemas conectados a él para eludir los controles de seguridad y seguridad física dentro de los sistemas OT.
“No solo estamos hablando directamente [a] uno de los PLC. Estamos pasando a todos los dispositivos que existen detrás de él para eludir las restricciones funcionales y de seguridad” del PLC que harían que el dispositivo detuviera o cerrara el proceso, dice Wetzels. “O puedo manipular el PLC y causar daños físicos”.
Wetzels dice que algunos proveedores brindan una guía incorrecta a los operadores de OT que establece que los PLC "anidados" a través de enlaces en serie o protocolos de OT no enrutables proporcionan una segmentación segura para esos dispositivos y la red de OT. “Estamos demostrando que esta es una línea de razonamiento defectuosa contra cierto tipo de atacante”, dice. Los investigadores muestran que todos los dispositivos (controladores de válvulas y sensores, por ejemplo) que residen debajo del PLC en otras redes detrás de él también pueden quedar expuestos y proporcionar a un atacante un control más detallado de los sistemas.
“Si quieres manipular [los procesos físicos] a un nivel profundo, te adentras en esas redes”, dice.
Otro vínculo débil y que a menudo se pasa por alto son las conexiones de red a proveedores de mantenimiento externos, por ejemplo, para trabajos de HVAC o plantas de tratamiento de agua. El contratista de mantenimiento a menudo tiene una conexión remota a su sistema empaquetado, que luego interactúa con la red OT. “El perímetro hacia el exterior que existe en el Nivel 1 no está protegido ni supervisado”, explica Wetzels.
Cómo defenderse de estas amenazas a OT
Forescout de Wetzels y dos Santos recomiendan que los operadores OT vuelvan a evaluar el estado de sus dispositivos de Nivel 1 y la interconectividad. “Asegúrese de que no se pueda desactivar nada por medios cibernéticos”, aconseja Wetzels.
También recomienda que las plantas con enlaces Ethernet que no tienen cortafuegos agreguen un cortafuegos. Y, como mínimo, garantizar la visibilidad del tráfico con un sistema de detección de intrusos, dice. Si los PLC incluyen una lista de control de acceso (ACL) basada en IP y funciones de inspección forense, impleméntelas para fortalecer los dispositivos, dice.
"Probablemente hay mucho espacio de rastreo de red que no está en su radar", dijo Wetzels hoy en su presentación aquí. “En el Nivel 1, entre diferentes segmentos [de la red] se necesita un perfil de seguridad perimetral”.
En cuanto a las vulnerabilidades del punto de acceso inalámbrico y los ataques que reveló Otorio, los investigadores recomiendan deshabilitar el cifrado débil en los dispositivos de acceso inalámbrico, enmascarar los dispositivos inalámbricos públicamente o al menos incluir en la lista blanca los dispositivos autorizados y garantizar una autenticación sólida para los dispositivos basados en IP.
También aconsejan deshabilitar los servicios basados en la nube que no se utilizan, que generalmente están activados de manera predeterminada, y usar firewalls y/o agregar túneles de red privada virtual (VPN) entre las conexiones.
Tom Winston, director de contenido de inteligencia de Dragos, dice que los puntos de acceso inalámbrico en la red industrial deberían usar autenticación multifactor. “El control de acceso es siempre una preocupación”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/ics-ot/ot-network-security-myths-busted-in-a-pair-of-hacks
