Defectos graves encontrados en ICS …


Estos dispositivos olvidados a menudo contienen vulnerabilidades graves que permiten a los atacantes piratear sistemas OT de forma remota, revelarán los investigadores en Black Hat United states el próximo mes.

Son dispositivos de purple indescriptibles y relativamente pequeños que se ejecutan silenciosamente en una planta industrial. Pero se ha descubierto que estas puertas de enlace de protocolo ICS de bajo perfil, que traducen y transportan el tráfico entre las redes industriales más antiguas y las basadas en IP, contienen algunas fallas de seguridad serias que un atacante podría usar para tomar el handle de los procesos de la planta.

Marco Balduzzi, científico investigador senior de Pattern Micro, el mes que viene en el Black Hat United states of america El evento virtual revelará detalles de múltiples vulnerabilidades que él y su equipo descubrieron en un estudio de muestreo de cinco productos de puerta de enlace ICS populares. Sus hallazgos no se centraron en el software de las puertas de enlace ni en los protocolos industriales como en investigaciones anteriores, sino más bien en una función menos estudiada: el proceso de traducción del protocolo que realizan los dispositivos.

Los investigadores probaron específicamente el proceso de traducción del protocolo para el protocolo serie Modbus preferred y estable utilizado en automóviles y plantas industriales. «Elegimos Modbus porque es muy utilizado y ha existido durante años» en industrias como el petróleo y el gasoline, la electricidad y la automatización de edificios, dice Balduzzi. La evaluación de la seguridad de la traducción del protocolo ICS abre «nuevos caminos», agrega.

De los cinco proveedores de pasarela ICS, que Balduzzi declinó nombrar en este momento a medida que se desarrolla el proceso de divulgación, dos son de los EE. UU., Uno de Europa y uno de Asia. Los investigadores crearon un dispositivo de prueba para ver qué agujeros podrían encontrar en las puertas de enlace, y hubo varios, incluidos algunos que permitirían a un atacante realizar un ataque de denegación de servicio en el dispositivo para detener una red de producción, escalada de privilegios locales fallas y una falta de encriptación en sus interfaces en la nube para que los datos se envíen de forma transparente a la nube.

Balduzzi se niega a divulgar todos los detalles de los defectos antes de su presentación en Black Hat United states, pero confirma que muchas de las vulnerabilidades se encontraron en todos los productos. Y cree que los problemas son comunes entre muchos otros productos de puerta de enlace ICS que no fueron probados por su equipo.

«El hecho de que pueda enviar un comando a una puerta de enlace y traducirlo a algo diferente» es significativo, dice. Es una forma astuta para que un atacante realice un ataque. «Si tiene un firewall en su lugar, ese firewall podría ver, por ejemplo, un comando del atacante y luego este comando se traduce en un vector de ataque en el back-stop».

Él dice que un atacante podría usar esta entrada para forzar a una máquina a apagar un motor en un proceso de planta, o para activar una falsa alarma.

En el caso de la vulnerabilidad DoS, solo uno o unos pocos paquetes se pueden usar para derribar un dispositivo, dice, lo que podría dar un apalancamiento al atacante para exigir un rescate para recuperar las operaciones de una fábrica, por ejemplo.

Pero aún más alarmante, Balduzzi y su equipo encontraron una colección de fallas de escalada de privilegios que permitían a un atacante obtener acceso de usuario administrativo de forma remota. Un atacante también podría omitir la autenticación por completo e iniciar sesión en un dispositivo desde lejos, según Balduzzi. Y todas las vulnerabilidades que él y su equipo encontraron podrían explotarse de forma remota. El problema: un atacante ya debería estar en la purple, a través de una infiltración previa desde otra parte de la red.

Objetivos «pasados ​​por alto»
El desafío es lograr que los operadores de redes industriales consideren la seguridad de estos dispositivos pequeños y olvidados. Balduzzi recomienda tener en cuenta la seguridad de los productos ICS en el proceso de compra. «No son como un robot masivo o una gran maquinaria haciendo cosas, como mover brazos (de máquina)», señala Balduzzi. «Pero todo el tráfico pasa por estos dispositivos … y tienden a pasarse por alto».

Tampoco es fácil detectar un ataque en la puerta de enlace ICS: algunos de sus firewalls no pudieron detectar ningún paquete de ataque que se les envió durante los ataques de prueba del investigador. Un IDS / IPS podría ayudar a monitorear tales ataques, según Balduzzi. «O tal vez desarrollas tu propio sistema de monitoreo», dice.

La buena noticia es que, a diferencia de los defectos de protocolo inherentes, hay formas de remediar las vulnerabilidades a través del firmware. «La solución es una actualización de firmware, y la mayoría de estos dispositivos permiten actualizaciones de firmware», por lo que puede hacerlo de forma remota, dice.

Hasta ahora, aproximadamente la mitad de las vulnas han sido reparadas por vendedores o han sido remediadas con una solución alternativa.

Contenido relacionado:

Regístrese ahora para el Black Hat United states of america totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse

Kelly Jackson Higgins es la Editora Ejecutiva de Dim Reading. Es una galardonada periodista de tecnología y negocios veteranos con más de dos décadas de experiencia en informes y edición para varias publicaciones, incluidas Network Computing, Secure Company … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia original