Características del sistema de handle industrial en riesgo



Cómo algunas funciones del producto ICS pueden ser armadas alterando sus configuraciones.

Un nuevo análisis de los sistemas de command industrial (ICS) que se ejecutan en las redes de petróleo y gasoline, generación de energía, refinación y productos químicos, pulpa y papel, y las industrias mineras arroja luz sobre cómo algunas características y funciones legítimas y profundamente arraigadas del producto pueden realmente amenazar su seguridad.

En muchos casos, estas funciones especialmente diseñadas integradas en los sistemas pueden ser explotadas por atacantes maliciosos simplemente cambiando las configuraciones y configuraciones fácilmente ajustables no se requiere necesariamente que el malware lo haga, según Mark Carrigan, jefe de operaciones de PAS World. La firma de Carrigan estudió unos 10,000 sistemas ICS de sus clientes para identificar características que él describe como «delicadas por diseño» con capacidades de configuración fácilmente abusables.

Es un giro en el conocido problema de «inseguridad por diseño» asociado con estos sistemas: las vulnerabilidades de seguridad, así como la falta de controles de seguridad en el diseño de muchos productos OT, han sido objeto de investigación durante algún tiempo. Pero Carrigan señala que algunas características del producto también pueden reconfigurarse y armarse fácilmente.

Según Carrigan, no solo muchos de estos sistemas son anteriores a las amenazas cibernéticas actuales, sino que algunas de las funciones con problemas de seguridad se incorporaron a los sistemas para facilitar los trabajos de los ingenieros y poder realizar sus tareas rápidamente. No se pueden actualizar fácilmente, e incluso eliminar algunas de estas debilidades puede, en muchos casos, causar un efecto dominó de interrupción en el sistema y la producción.

Si bien los ataques sofisticados o potencialmente dañinos a las redes ICS hasta la fecha han sido relativamente raros y difíciles de llevar a cabo sin el conocimiento de los procesos de una planta, así como los sistemas ICS dentro de ella, los expertos en seguridad dicen que los atacantes de los estados nacionales, a través de campañas de ciberespionaje, son cada vez más ganando conocimiento para sabotear la operación de una planta a través de un ataque cibernético. Stuxnet fue la primera llamada de atención para el sector industrial. Más recientemente fue Triton / Trisis, que en 2017 cerró el sistema de instrumentación de seguridad en una planta petroquímica en Arabia Saudita.

Comprender los procesos debajo de los sistemas de management podría ser una combinación mortal para un hacker malicioso capaz de cambiar la configuración de los activos OT, dice Carrigan. «Ese es el próximo panorama para los atacantes», dice.

&#39La punta del iceberg&#39
Carrigan no nombrará los nombres de los proveedores afectados que PAS encontró en su análisis, pero algunas de las características expuestas abarcan varias marcas de equipos OT. De los 10,000 sistemas industriales, había unos 380,000 vulnerabilidades conocidas totales con CVE publicados, la mayoría de los cuales estaban relacionados con Microsoft Windows. Presentará sus hallazgos la próxima semana en el S4x20 Conferencia de seguridad de ICS en Miami.

«Esto es solo la punta del iceberg. Hay toneladas de estos por ahí», dice Carrigan.

Dale Peterson, CEO de Electronic Bond, una firma de consultoría e investigación de sistemas de management que dirige S4, dice que el estudio de Carrigan proporciona otro nivel de problemas de inseguridad por diseño. Específicamente, algunos de ellos incluyen características que se requieren para que los componentes se comuniquen. En realidad, solucionar estos problemas implicaría actualizar simultáneamente una gran cantidad de componentes y semanas de interrupción de producción, explica.

«Además, muchas de estas &#39características&#39 están ocultas o solo son conocidas por el equipo que implementa el ICS», señala Peterson.

Según Carrigan, muchas de las características con problemas de seguridad que PAS está destacando son bien conocidas por los proveedores en cuestión. La mayor parte de las consecuencias que ha visto con esas características hasta ahora han sido errores y configuraciones erróneas inadvertidas por parte de los propios operadores, no piratas informáticos maliciosos.

Una característica que abarca todos los productos de sistemas de handle de los proveedores es un parámetro o configuración generalmente conocida como la característica de salida. Este parámetro de la función de management es un ajuste binario que determina, por ejemplo, el caudal de aire o gasoline en una válvula. Si el controlador de flujo está configurado para 100 y el flujo de corriente es 80, abrirá la válvula para alcanzar 100, por ejemplo, dice. «Si simplemente invierto esa configuración, solo cámbiela … es algo simple de hacer, la apertura de la válvula se cerrará. (Entonces) he invertido la acción de la característica de salida», explica.

Otra característica específica del producto del sistema de manage de un proveedor, que recientemente parcheó, es un comando en los archivos gráficos de la interfaz hombre-máquina (HMI) que podría permitir a un atacante obtener el control administrativo de toda la crimson DCS, dice Carrigan. Esta característica es para que los ingenieros o diseñadores creen un comando para un operador, pero si un atacante se apodera de él, puede obtener privilegios de administrador. Incluso evita cualquier conjunto de privilegios de administrador de Windows, dice.

Una característica adicional en riesgo es una debilidad de HTML en la mayoría de las HMI creadas en los últimos 10 años, según los hallazgos de PAS. Estas HMI utilizan un formato gratuito de HTML para el diseño de gráficos, según Carrigan. «Si tiene HTML, puede inyectar código y hacer casi cualquier cosa que desee: cambiar la configuración de regulate de flujo, no hay problema. Hacer inyecciones SQL en la foundation de datos de configuración, no hay problema allí», dice.

PAS también encontró una configuración en el sistema de management de un proveedor para equilibrar las cargas informáticas para un proceso de indicador de management de flujo. Al «mezclar» los cálculos del indicador de flujo y el controlador de flujo en la CPU, un atacante podría causar estragos en la operación. «No hay nada en el sistema que te impida configurar esas cosas mal. Por lo tanto, como mínimo, puedo causar problemas de producción al cambiar un montón de estas configuraciones» o incluso sobrecargar la CPU, dice.

Encontraron otra característica «delicada»: el sistema ICS de un proveedor que utiliza un único nombre de usuario y contraseña de ingeniero de sistema codificados y almacenados en su foundation de datos de configuración. La contraseña está en hash, pero Carrigan dice que es un hash muy uncomplicated y adivinable. «Una vez que (el atacante) lo descubrí, sé que para cada sistema, puedo acceder a ese hash y acceder a ese sistema», explica. La contraseña no se puede cambiar porque está «diseñada» en el producto.

Damon Tiny, director técnico del Grupo NCC, dice que el modelo de amenaza ha cambiado significativamente para el sector de ICS, y los ataques se están volviendo más comunes. Pero el impacto en el mundo serious de realizar cambios de seguridad como parches u otros movimientos que desconectan las operaciones, incluso por un corto período de tiempo, a menudo disuade cualquier cambio importante de seguridad por parte de los operadores. Compact dice una vez que cuando recomendó a un operador parchear mensualmente las fallas de Home windows, el operador le dijo que desconectar esos sistemas por solo cuatro horas le costaría a su organización $ 350,000 en tiempo de interrupción.

«Los operadores conocen muy bien las ineficiencias introducidas cuando comienzas a jugar con los sistemas de manage», explica Little.

Qué hacer
¿Cómo protegen los operadores de OT sus plantas de sus propios sistemas, especialmente si el parche puede estar fuera de la mesa en algunos casos?

Según Carrigan, adoptar la administración de la configuración, especialmente para los sistemas y activos más críticos, es una forma de frustrar un ataque a través de características «delicadas». De esa manera, solo los cambios que permites pueden tener lugar, por ejemplo, dice.

El monitoreo pasivo de la crimson también puede detectar tráfico y comportamiento anómalos, señala Small de NCC Group, que también es miembro fundador de Operational Technologies Cyber ​​Security Alliance. «Si ve algo diferente a lo que esperaba, eso podría ser un indicador de que algo salió mal. Pero esto supone que comprende cómo se ve su tráfico typical, cuál es su línea de base», señala, lo que requiere un análisis.

Contenido relacionado:

Kelly Jackson Higgins es la Editora Ejecutiva de Dark Reading. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para diversas publicaciones, incluidas Network Computing, Safe Business … Ver biografía completa

Más concepts





Enlace a la noticia authentic