Contrôles industriels vulnérables directement connecté à Internet? Pourquoi pas?

Contrôles industriels vulnérables directement connectés à Internet? Pourquoi pas?Siemens

Hier, Siemens a publié une mise à jour d’un produit vieux d’un an UNE vertissement de vulnérabilité pour ses SIMATIC S7-300 et S7-400 familles de contrôleurs programmables (PLC) – industriels systèmes de contrôle utilisés pour surveiller et exploiter à distance la fabrication équipement. L’alerte, émise pour la première fois en décembre 2016, a été mis à jour mercredi pour inclure une autre version de la ligne S7-400. Le ministère de la Sécurité intérieure a lancé une alerte à travers le Équipe d’intervention en cas d’urgence informatique (ICS-CERT) aujourd’hui. Les systèmes des deux familles d’appareils sont vulnérable aux attaques à distance qui pourraient permettre à quelqu’un d’obtenir identifiez-vous au système ou réinitialisez-le en mode “défectueux”, arrêter le contrôleur – en exécutant essentiellement un attaque par déni de service sur le matériel attaché à.

Lectures complémentaires

Certaines bières, la colère chez l’ancien employeur et l’accès à la racine s’ajoutent à un année de prisonVous ne pensez peut-être pas que les contrôles industriels en usine serait directement accessible depuis Internet. Mais un aperçu rapide des périphériques ouverts sur le port réseau mentionné dans l’avis (TCP port 102) en utilisant le moteur de recherche Shodan a révélé plus de 1000 Appareils Siemens directement accessibles sur Internet (plus un nombre de pots de miel configurés pour détecter les attaques).

De nombreux appareils sont vulnérables en raison des alertes et des alertes de Siemens. ne disposent pas des mises à jour du micrologiciel requises pour atténuer la menace. La seule bonne nouvelle, en tant que chercheur en sécurité, Kevin Beaumontaid dans un échange avec Ars sur Twitter, est-ce que “Je n’ai vu aucune preuve montrant que quelqu’un essayait de les essuyer, etc., encore.”

Actual Siemens PLCs confirmed to be connected to the Internet, courtesy of Shodan.Agrandir / Les automates Siemens ont confirmé leur connexion à Internet, courtoisie de Shodan.Shodan

Ironiquement, la vulnérabilité liée au vol de justificatifs d’identité pourrait même ne pas être un problème dans certains cas, car un nombre important de les appareils interrogés lors de la recherche Shodan n’avaient aucune authentification configuré du tout. La seule raison pour laquelle ces systèmes peuvent ne pas avoir été attaqué est que personne n’a compris comment faire les attaquer dans une entreprise rentable, ou ils n’ont pas lu les manuels Siemens (téléchargeables) pour le moment.

Comme Beaumont l’a dit, “c’est un objectif personnel ouvert”. Et ce particulier le conseil ne s’arrête pas aux automates. Certains fabricants d’API n’ont pas a même répondu aux demandes de renseignements du service national de cybersécurité du DHS et Centre d’intégration des communications (NCCIC) à propos de vulnérabilités récemment découvertes, comme celle du Nari PCS-9611 Feeder Relay, un système de contrôle utilisé pour gérer certaines réseaux électriques. La vulnérabilité, rapportée par deux laboratoires Kaspersky chercheurs, “pourrait permettre à un attaquant distant de lire / écrire de manière arbitraire capacités sur le système. ”

Bien qu’une recherche superficielle dans Shodan n’ait révélé aucun alimentateur de Nari relais spécifiquement, une vérification de l’un des Protocoles de la Commission électrotechnique utilisés par le PCS-9611 et de nombreux autres d’autres dispositifs contrôlant les systèmes de distribution d’énergie trouvés sur 14 000 systèmes connectés directement à Internet, principalement en 3G modems cellulaires. Les résultats pour beaucoup de ceux examinés par Ars étaient indicatif des dispositifs électriques ICS.

A Recherche Shodan de systèmes utilisant des protocoles de réseau électrique communs  trouvé quelques-uns connectés directement à Internet, principalement sur  connexions cellulaires. AShodan search of systems using common electrical grid protocolsfound a few connected directly to the internet, mostly overcellular connections.

Barrage mauvaise sécurité

Alors que le DHS et divers fournisseurs de services de sécurité ont mis en garde contre la vulnérabilité des systèmes de contrôle industriels à la “cyberguerre” au cours de la dernière décennie, relativement peu de contrôle industriel réel les attaques du système ont été documentés, et ceux qui ont été rapportés ont été largement exagérés. Une tentative en 2013 (attribuée � Iraniens) de “pirater” un barrage dans le nord de l’Etat de New York ont ​​échoué, en grande partie parce que les systèmes de contrôle des inondations du barrage étaient en panne depuis un certain temps temps. Cette attaque a été organisée en accédant au site local du barrage réseau sur un modem cellulaire à large bande mis en place pour permettre à distance accès.

D’autres attaques, plus récentes, ont été commises par des initiés. Ils incluent un ancien employé éventuellement ivre d’un système de contrôle industriel fournisseur qui a utilisé les informations d’identification de connexion par défaut pour fermer à distance stations de base de passerelles tour (TGB) qui collectent des données à partir de smart compteurs d’eau.

Cependant, certaines de ces attaques peuvent rester sans papiers simplement parce que les entreprises touchées par elles n’ont eu aucune raison de signaler À la conférence sur la sécurité de Black Hat USA en 2015, Marina Krotofil, chercheur à l’Université de technologie de Hambourg a déclaré aux participants que les services publics avaient été régulièrement soumis à du chantage par ICS hackers à grande échelle depuis au moins 2006. Et malgré les efforts pour mieux sécuriser l’infrastructure de contrôle du réseau électrique, les chercheurs ont continué à constater que même les dispositifs de protection utilisés sur certains systèmes sont sujets aux abus et aux attaques.

Dans une présentation à la conférence de sécurité RECON Bruxelles, le dernier Janvier, les chercheurs Kirill Nesterov et Alexander Tlyapov discuté de l’absence générale de sécurité dans les protocoles CEI utilisés dans les systèmes de sous-stations électriques, y compris la protection de relais terminaux. Beaucoup de ces systèmes ont leurs propres interfaces Web pour gestion à distance, souvent avec des mots de passe codés en dur qui peuvent être découvert en examinant un firmware téléchargeable à partir du sites Web des fabricants.

Apparemment, protéger ce matériel est difficile. Une partie du problème est que beaucoup de ces systèmes sont en dehors du domaine habituel de l’informatique départements et gérés par des organisations distinctes avec un très différent sorte d’éthique de sécurité. L’adoption rapide de l’accès à distance pour systèmes industriels a permis aux travailleurs de suivre fabrication, systèmes chimiques et électriques à distance, économiser de l’argent et du temps. Mais dans de nombreux cas, cet accès à distance a été réalisé avec très peu de planification de la sécurité, voire aucune. Après tout, pourquoi quelqu’un aurait-il besoin d’un réseau privé virtuel pour protéger l’automate contrôlant un barrage ou une usine équipement?

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: