Del command del edificio al management de daños: un estudio de caso en seguridad industrial con el gerente enteliBUS de Delta


Administración. Controlar. Parece que no puedes juntar a cinco personas en una habitación sin que una de ellas intente ordenar a las demás. Sin embargo, esta tendencia hacia la autoridad centralizada no carece de razón: a menudo es más eficiente tener una persona, o cosa, que tome las decisiones. Para un ejemplo de esto último, uno no necesita buscar más allá del gerente de enteliBUS de Delta o eBMGR. En pocas palabras, este dispositivo tiene como objetivo centralizar el manage de varias piezas de components que a menudo se encuentran en entornos corporativos o industriales, ya sean controles de temperatura y humedad para una sala de servidores, una caldera y sus correspondientes alarmas y sensores en una fábrica, o handle de acceso y iluminación en un negocio. Las ventajas también parecen obvias: se puede configurar para ajustar las velocidades del ventilador de acuerdo con las lecturas del termostato o hacer sonar una alarma si la presión cruza un cierto umbral, todo con poca interacción humana.

Las desventajas, aunque menos obvias, se vuelven claras cuando se consideran actores maliciosos expertos en tecnología. De repente, su sistema potencialmente crítico ahora tiene un único punto de falla, y uno que está conectado a una purple, para empeorar las cosas.

Considere por un momento una sala de presión positiva en un medical center, del tipo que generalmente se united states para evitar la entrada de contaminantes durante las cirugías. Administrar salas como estas es una aplicación típica para el eBMGR y no requiere una imaginación hiperactiva para imaginar qué tipo de daño podría causar un mal actor si perturba un entorno tan practical.

Administración. Controlar. Eso es lo que está en juego si un dispositivo como este no está bien protegido. También es lo que hizo de este dispositivo una prioridad tan alta para el equipo de Investigación Avanzada de Amenazas de McAfee. La decisión de hacer que los sistemas críticos conectados a la red como estos exijan un nivel extremadamente alto de seguridad de program, es precisamente nuestro trabajo encontrar dónde puede fallar.

Con estas apuestas en mente, nuestro equipo se puso a trabajar. Comenzamos conectando una unidad eBMGR a una pink con varios otros dispositivos para simular un entorno algo genuine. Usando una técnica conocida como «fuzzing», luego explotamos el dispositivo con todo tipo de tráfico de purple deliberadamente malformado, buscando una grieta en la armadura. Esa es una ventaja a menudo otorgada a los malos en seguridad de software pueden cometer muchos errores Los fabricantes solo necesitan hacer uno.

Quizás, como era de esperar, la persistencia y la creatividad nos llevaron a descubrir uno de esos errores: una falta de coincidencia en los tamaños de memoria utilizados para manejar los datos de crimson entrantes creó lo que a menudo se conoce como vulnerabilidad de desbordamiento de búfer. Este error aparentemente inocuo hizo que el eBMGR fuera vulnerable a nuestro ataque a la crimson cuidadosamente diseñado, lo que permite que un hacker en la misma pink obtenga el command completo del sistema operativo del dispositivo. Peor aún, el ataque usa lo que se conoce como tráfico de transmisión, lo que significa que pueden lanzar el ataque sin conocer la ubicación de los objetivos en la red. El resultado es una versión retorcida de Marco Polo: el hacker solo necesita gritar «¡Marco!» En la oscuridad y esperar a que los blancos desprevenidos griten «Polo!» En respuesta.

En este campo, el control completo del sistema operativo suele ser la línea de meta. Pero no nos contentamos con eso. Después de todo, controlar el eBMGR por sí solo no es tan interesante Queríamos ver si podíamos usarlo para controlar todos los dispositivos a los que estaba conectado. Desafortunadamente, no teníamos el código fuente para el application del dispositivo, por lo que este nuevo objetivo no resultó trivial.

Regresamos a la mesa de dibujo y adquirimos un hardware adicional que el dispositivo Delta podría encargarse de administrar de manera realista y un técnico certificado programó el dispositivo tal como lo haría para un cliente del mundo actual, en nuestro caso, como un controlador HVAC. Nuestra estrategia se convirtió rápidamente en lo que a menudo se conoce como un ataque de repetición. Como ejemplo, si quisiéramos determinar cómo decirle al dispositivo que active un interruptor, primero observaríamos que el dispositivo activa el interruptor de la manera «regular» e intentamos rastrear qué código debe ejecutarse para que eso suceda. A continuación, intentaremos recrear esas condiciones ejecutando ese código manualmente, por lo tanto volver a jugar El evento observado anteriormente. Esta estrategia demostró ser efectiva al otorgarnos regulate sobre cada categoría de dispositivo que admite eBMGR. Además, este método sigue siendo independiente del hardware específico conectado al administrador del edificio. Hipotéticamente, este tipo de ataque funcionaría sin ningún conocimiento previo de la configuración del dispositivo.

El resultado fue un ataque que comprometería a cualquier administrador de enteliBUS en la misma pink y adjuntaría una pieza personalizada de malware que desarrollamos al software program que se ejecuta en él. Este malware crearía una puerta trasera que permitiría al atacante emitir comandos de forma remota al administrador y controlar cualquier hardware conectado a él, ya sea algo tan benigno como un interruptor de luz o tan peligroso como una caldera.

Para empeorar las cosas, si el atacante conoce la dirección IP del dispositivo con anticipación, esta explotación se puede realizar a través de Internet, lo que aumenta su impacto exponencialmente. Al momento de escribir esto, un escaneo de Shodan reveló que más de 1600 de estos dispositivos están conectados a World wide web, lo que significa que el peligro está lejos de ser hipotético.

Para aquellos que anhelan los detalles técnicos esenciales de cómo logramos esto, también publicamos lo que podría decirse que es una novela. aquí que profundiza en el proceso de descubrimiento y explotación de vulnerabilidades de principio a fin.

De acuerdo con nuestro programa de divulgación responsable, nos comunicamos con Delta Controls tan pronto como confirmamos que la vulnerabilidad inicial que descubrimos period explotable. Poco después, nos proporcionaron una versión beta de un parche destinado a corregir la vulnerabilidad y confirmamos que lo hizo: nuestro ataque ya no funcionó. Además, al comprender cómo se realiza el ataque a nivel de red, pudimos agregar mitigación para esta vulnerabilidad a la plataforma de seguridad de crimson (NSP) de McAfee a través de la firma NSP 0x45d43f00, ayudando a nuestros clientes a mantenerse seguros. Esta es nuestra strategy de una historia de éxito: investigadores y proveedores se unen para mejorar la seguridad de los usuarios finales y, en última instancia, reducir la superficie de ataque para el adversario. Si hay alguna duda de que están interesados ​​en objetivos como estos, se iluminará una búsqueda rápida los innumerables intentos de explotar los sistemas de regulate industrial como objetivo principal de interés.

Antes de dejarlo con «todo está bien y termina bien», queremos enfatizar que hay una lección que aprender aquí: no se necesita mucho para que un sistema crítico sea susceptible. Por lo tanto, es importante que las empresas extiendan las prácticas de seguridad adecuadas a todos los dispositivos conectados a la pink, no solo a las Laptop. Dichas prácticas pueden incluir colocar todos los dispositivos conectados a World-wide-web detrás de un firewall, monitorear el tráfico a estos dispositivos, segregarlos del resto de la red mediante VLAN y estar al tanto de las actualizaciones de seguridad. Para los sistemas críticos que no pueden permitirse un tiempo de inactividad significativo, las actualizaciones a menudo se extraen en lugar de enviarse, lo que obliga a los usuarios finales a mantener estos dispositivos actualizados. Cualquiera sea la implementación precisa, una buena política de seguridad a menudo comienza adoptando el principio del menor privilegio, o la notion de que todo acceso debería estar restringido por defecto a menos que haya una razón convincente para ello. Por ejemplo, antes de abordar el desafío de mantener un dispositivo como el eBMGR seguro en Internet, es importante preguntar primero si es necesario tenerlo conectado a Web en primer lugar.

Si bien las empresas y los consumidores deberían tomar las medidas adecuadas para mantener sus redes seguras, los fabricantes también deben adoptar un enfoque proactivo para abordar las vulnerabilidades que afectan a sus usuarios finales. La disposición de Delta Controls para colaborar y la respuesta oportuna a nuestra divulgación ciertamente parece un paso en la dirección correcta. Por favor refiérase a la siguiente declaración de Delta Controls, que proporciona información sobre la colaboración con McAfee y el poder de la divulgación responsable.

(incrustar) https://www.youtube.com/observe?v=OieeNzYjPQs (/ incrustar)





Enlace a la noticia authentic