Due informazioni relative all'OT security riguardano la scoperta di alcune vunerabilità dei sistemi e tecniche di attacco utilizzate dai cybercriminali per compromettere risorse OT/ICS, che prendomo di mira le Hmi.
La prima è la comunicazione di Nozomi Network che ha scoperto sette vulnerabilità che consentirebbero ai cybercriminali di accedere a informazioni sensibili, eseguire comandi arbitrari, lanciare un attacco Denial-of-Service (DoS) o ottenere l’esecuzione di codice da remoto (Rce).
L'altra, rigurada la National Security Agency (Nsa) e la Cybersecurity and Infrastructure Security Agency (Cisa) che recentemente hanno pubblicato una raccomandazione congiunta del Cybersecurity Advisory “Control System Defense: Know the Opponent”, che descrive tattiche, tecniche e procedure (TTP) utilizzate dagli attori malevoli per compromettere le risorse OT/ICS.
Una delle tecniche menzionate è il Mitre Att&Ck T0832 “Manipulation of View”, utilizzata durante un attacco informatico alla rete elettrica ucraina. L’obiettivo di questo tipo di attacco è “screditare la capacità dell’operatore di monitorare il sistema attaccato o indurre l’operatore a perdere fiducia nella capacità del sistema di controllo di operare, controllare e monitorare il sistema attaccato. Dal punto di vista pratico, l’attacco potrebbe configurarsi come un’impossibilità di aggiornare il display dell’operatore (Hmi) e di aggiornare o modificare selettivamente le visualizzazioni sull'Hmi [...]”.
Le vulnerabilità dei sistemi Siemens Desigo
A maggio 2022, Nozomi Network Labs ha reso noti i risultati della ricerca sulla sicurezza di Siemens PXC4.E16, un sistema di building automation (BAS) della famiglia dei sistemi Desigo/Apogee per impianti Hvac e di assistenza agli edifici. Nella stessa ricerca, era stato analizzato anche Siemens PXM30.E, un touch panel con web server integrato per il monitoraggio remoto del BAS.
Ora, Nozomi Network Labs ha individuato sette vulnerabilità (tracciate sotto Siemens SSA-360783) che interessano diversi dispositivi Desigo Control Point di Siemens. Tali vulnerabilità potrebbero consentire ad attori malevoli di accedere a informazioni sensibili, eseguire comandi arbitrari, lanciare un attaccoDoS o ottenere l’esecuzione di codice da remoto.
Le vulnerabilità e i relativi effetti potenziali sono esposti in modo dettagliato qui.
Hmi, un obiettivo di attacco critico
Le Hmi rappresentano un obiettivo di attacco critico che è necessario proteggere adeguatamente all’interno di una rete di produzione. Come si legge nel Mitre Att&Ck T0832, “con una visione alterata dei sistemi, gli operatori possono emettere sequenze di controllo non appropriate che generano errori o causano guasti non indifferenti al sistema. I sistemi di analisi aziendale, poi, possono ricevere dati imprecisi che portano a decisioni gestionali sbagliate”.
Si tratta di scenari di attacco molto plausibili: come conferma la raccomandazione congiunta dell'Nsa e del Cisa, gli attacchi informatici contro i sistemi Hmi e dispositivi simili sono uno dei pattern di attacco più comuni per causare intrusioni reali nei sistemi.
Gli interventi e i suggerimenti di Siemens e Nozomi Networks
Siemens ha già rilasciato aggiornamenti per correggere tutti i problemi, oltre a un avviso di sicurezza ufficiale e alla nota 109813821 di supporto al prodotto che fornisce ulteriori dettagli su come applicare i patch ai dispositivi interessati.
La raccomandazione di Nozomi Networks agli utenti è quella di aggiornare prontamente tutti i dispositivi vulnerabili applicando le patch rilasciate da Siemens. Inoltre, Nozomi Networks ha rilasciato aggiornamenti specifici del servizio Threat Intelligence per rilevare i tentativi di sfruttamento di tali vulnerabilità.