Controles industriales vulnerables directamente conectado a internet? Por qué no?

¿Controles industriales vulnerables directamente conectados a Internet? ¿Por qué no?Siemens

UNA yer, Siemens emitió una actualización de un producto de un año advertencia de vulnerabilidad para sus SIMATIC S7-300 y S7-400 familias de controladores lógicos programables (PLC) industriales sistemas de control utilizados para controlar y operar de forma remota la fabricación equipo. La alerta, emitida originalmente en diciembre de 2016, fue actualizado el miércoles para incluir otra versión de la línea S7-400. El Departamento de Seguridad Nacional envió una alerta a través del Equipo de respuesta a emergencias informáticas de sistemas de control industrial (ICS-CERT) hoy. Los sistemas en ambas familias de dispositivos son vulnerable a ataques remotos que podrían permitir que alguien obtenga credenciales de inicio de sesión en el sistema o restablecerlo en un modo “defecto”, apagando el controlador, esencialmente ejecutando un ataque de denegación de servicio en cualquier equipo que esté conectado a.

Otras lecturas

Algunas cervezas, enojo con el ex empleador y acceso a la raíz se suman a un año en prisión Puede que no pienses que los controles industriales de fábrica sería directamente accesible desde Internet. Pero una encuesta rápida de dispositivos abiertos en el puerto de red mencionado en el aviso (TCP puerto 102) usando el motor de búsqueda Shodan reveló más de 1,000 Dispositivos Siemens directamente accesibles en Internet (más un cierto número de honeypots configurados para detectar ataques).

Muchos de los dispositivos son vulnerables según las alertas de Siemens y no tiene las actualizaciones de firmware necesarias para mitigar la amenaza. La única buena noticia, como investigador de seguridad Kevin Beaumonts dijo en un intercambio con Ars en Twitter, es que “No he visto evidencia de que alguien trate de borrarlos, etc., todavía.”

Actual Siemens PLCs confirmed to be connected to the Internet, courtesy of Shodan.Agrandar / PLC de Siemens reales confirmados para estar conectados a Internet, cortesía de Shodan.

Irónicamente, la vulnerabilidad de robo de credenciales puede que ni siquiera ser un problema en algunos casos, porque un número sustancial de los dispositivos encuestados en la búsqueda de Shodan no tenían autenticación configurado en absoluto. La única razón por la que estos sistemas pueden no tener atacado todavía es que nadie ha descubierto cómo hacer atacándolos en una empresa rentable, o no han leído los manuales de Siemens (descargables) todavía.

Como dijo Beaumont: “Es un objetivo abierto”. Y este particular El asesoramiento no termina con los PLC. Algunos fabricantes de PLC no tienen incluso respondió a consultas de la Seguridad Cibernética Nacional del DHS y el Centro de Integración de Comunicaciones (NCCIC) sobre vulnerabilidades descubiertas recientemente, como una en el Nari PCS-9611 Feeder Relay, un sistema de control utilizado para administrar algunos Rejillas eléctricas. La vulnerabilidad, informada por dos Kaspersky Labs investigadores “podrían permitir a un atacante remoto lectura / escritura arbitraria habilidades en el sistema “.

Si bien una búsqueda superficial de Shodan no reveló ningún alimentador Nari retransmite específicamente, un cheque de uno de los Protocolos de la Comisión Electrotécnica utilizados por el PCS-9611 y muchos otros dispositivos que controlan los sistemas de distribución de energía encontrados en 14,000 sistemas conectados directamente a Internet, principalmente por 3G módems celulares. Los resultados para muchos de estos seleccionados por Ars fueron indicativo de dispositivos eléctricos ICS.

A Shodan busca sistemas utilizando protocolos comunes de red eléctrica  encontré algunos conectados directamente a internet, la mayoría de ellos  Conexiones celulares. AShodan search of systems using common electrical grid protocolsfound a few connected directly to the internet, mostly overcellular connections.

Presa mala seguridad

Mientras que el DHS y varios proveedores de seguridad han estado advirtiendo de La vulnerabilidad de los sistemas de control industrial a la “guerra cibernética” durante la última década, relativamente pocos controles industriales reales los ataques al sistema han sido documentados, y los que han sido reportado ha sido exagerado en gran medida. Un intento de 2013 (atribuido a Iraníes) para “piratear” una presa en el estado de Nueva York falló, en gran medida porque los sistemas de control de inundaciones de la presa se habían roto por algunos hora. Ese ataque se organizó al obtener acceso al local de la presa red a través de un módem celular de banda ancha configurado para permitir acceso.

Otros ataques más recientes han sido de información privilegiada. Incluyen un ex empleado posiblemente borracho de un sistema de control industrial proveedor que utilizó credenciales de inicio de sesión predeterminadas para cerrar de forma remota estaciones base de torre de entrada (TGB) que recopilan datos de smart medidores de agua.

Sin embargo, algunos de estos ataques pueden quedar indocumentados simplemente porque las empresas afectadas por ellos no han tenido motivo para informar En la conferencia de seguridad de Black Hat USA en 2015, Marina Krotofil, investigador de la Universidad Tecnológica de Hamburgo les dijo a los asistentes que los servicios públicos habían sido chantajeados regularmente por ICS piratas informáticos a gran escala desde al menos 2006. Y a pesar de los esfuerzos para asegurar mejor la infraestructura de control de la red eléctrica, Los investigadores han seguido descubriendo que incluso los dispositivos de protección utilizados en algunos sistemas son propensos al abuso y al ataque.

En una presentación en la conferencia de seguridad RECON de Bruselas el pasado Enero, investigadores Kirill Nesterov y Alexander Tlyapov discutió la ausencia general de seguridad en los protocolos IEC utilizados en sistemas de subestación de red eléctrica, incluida la protección de relés terminales. Muchos de estos sistemas tienen sus propias interfaces web para gestión remota, a menudo con contraseñas codificadas que pueden ser descubierto al examinar el firmware descargable desde sitios web de fabricantes.

Aparentemente, proteger estas cosas es difícil. Parte del problema es que muchos de estos sistemas están fuera del dominio habitual de TI departamentos y administrados por organizaciones separadas con un muy diferente tipo de ethos de seguridad. La rápida adopción del acceso remoto para Los sistemas industriales han permitido a los trabajadores realizar un seguimiento de fabricación, sistemas químicos y eléctricos a distancia, ahorrando dinero y tiempo. Pero en muchos casos, ese acceso remoto tiene se ha logrado con muy poca planificación de seguridad, si es que tiene alguna. Después de todo, ¿por qué alguien necesitaría una red privada virtual para proteger el PLC que controla una presa o una pieza de fábrica �equipo?

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: