OT-netwerkbeveiligingsmythen ontkracht in een paar hacks

S4x23 — Miami — Terwijl de netwerklijnen van IT en operationele technologie (OT) in de snel gedigitaliseerde industriële sector blijven vervagen, brengen nieuwe kwetsbaarheden en bedreigingen conventionele OT-beveiligingsmaatregelen in gevaar die ooit fysieke processen geïsoleerd en beschermd tegen cyberaanvallen.

Twee nieuwe afzonderlijke onderzoeken die deze maand zijn gepubliceerd, onderstrepen echte, verborgen gevaren voor fysieke operaties in de huidige OT-netwerken van draadloze apparaten, cloud-gebaseerde applicaties en geneste netwerken van programmeerbare logische controllers (PLC's). netwerksegmentatie en verbindingen van derden met het netwerk.

In één reeks bevindingen was een onderzoeksteam van Forescout Technologies in staat om veiligheids- en functionele vangrails in een OT-netwerk te omzeilen en lateraal over verschillende netwerksegmenten te bewegen op de laagste niveaus van het netwerk: het controllerniveau (ook bekend als Purdue-niveau 1), waar PLC's leven en runnen de fysieke operaties van een industriële installatie. De onderzoekers gebruikten twee nieuw onthulde kwetsbaarheden van Schneider Modicon M340 PLC die ze vonden - een RCE-fout (remote code execution) en een authenticatie-bypass-kwetsbaarheid - om inbreuk te maken op de plc en breng de aanval naar een hoger niveau door van de PLC naar de aangesloten apparaten te draaien om ze te manipuleren om snode fysieke operaties uit te voeren.

"We proberen het idee weg te nemen dat je onder eigenaren van activa en andere partijen hoort dat Level 1-apparaten en Level 1-netwerken op de een of andere manier verschillen van gewone Ethernet-netwerken en Windows [machines] en dat je er niet op dezelfde manier doorheen kunt bewegen," zegt Jos Wetzels, beveiligingsonderzoeker bij Forescout. “Deze systemen zijn bereikbaar en je kunt veiligheidscontroles omzeilen als je het juiste controleniveau hebt. We laten zien hoe het moet.”

De zeer complexe aanvalsvolgorde die de onderzoekers hebben aangetoond met een proof-of-concept (PoC) - en waarvan ze erkennen dat het de technische karbonades en middelen van aanvallers van nationale staten zou vereisen - staat in schril contrast met een relatief eenvoudige nieuwe hack die een andere groep onderzoekers heeft uitgevoerd en die planten blootlegt via draadloze netwerken. netwerk apparaten. Beide afzonderlijke sets bevindingen van OT-aanvallen boren gaten in traditionele aannames van inherente beveiliging in de lagere lagen van OT-netwerken, en de twee teams van onderzoekers achter hen deelden hun bevindingen hier deze week op de S4x23 ICS/OT-conferentie.

Draadloze dreiging "trok onze aandacht"

In de tweede reeks onderzoeken vond een team van ICS-beveiligingsprovider Otorio zo'n 38 kwetsbaarheden in producten, waaronder mobiele routers van Sierra Wireless en InHand-netwerkenEn een server voor externe toegang voor machines van ETIC Telecom. Een dozijn andere bugs blijven in het openbaarmakingsproces met de getroffen leveranciers en werden niet genoemd in het rapport.

De fouten omvatten twee dozijn webinterface-bugs die een aanvaller een directe lijn van toegang tot OT-netwerken kunnen geven.

Matan Dobrushin, vice-president onderzoek bij Otorio, zegt dat zijn team de open source WiGLE-tool gebruikte, een zoek-app in Shodan-stijl die draadloze toegangspunten over de hele wereld lokaliseert en in kaart brengt. WiGLE verzamelt SSID- of netwerknamen, versleutelingstypes (zoals WEP of WPA) en de geolocatie van een draadloos toegangspunt. Het team was in staat om verschillende OT-sites te lokaliseren via die gegeolokaliseerde Aps die WiGL zag, waaronder een oliebron met zwakke authenticatie voor zijn draadloze apparaat.

Het team ontdekte relatief eenvoudige manieren voor een aanval om industriële Wi-Fi-toegangspunten te hacken en mobiele gateways en voer man-in-the-middle-aanvallen uit om fysieke machines in productielocaties te manipuleren of te saboteren. In één aanvalsscenario, zo stellen de onderzoekers, zou een aanvaller gewapend met een laptop een fabriekslocatie kunnen vinden en ernaartoe kunnen rijden en verbinding kunnen maken met het operationele netwerk.

“Je hoeft niet alle lagen van het enterprise IT-netwerk of firewalls te doorlopen. In dit voorbeeld kan iemand gewoon met een laptop komen en direct verbinding maken met het meest gevoelige fysieke deel van dat netwerk.” Dobrushin zegt. "Dit is wat onze aandacht trok."

Fysieke nabijheid is slechts een van de drie aanvalsscenario's die het team ontdekte toen ze de kwetsbaarheden in deze draadloze apparaten vonden. Ze kunnen ook draadloze apparaten van de fabriek bereiken via vaak blootgestelde IP-adressen die onbedoeld openstaan voor het openbare internet. Maar het derde en meest verrassende aanvalsscenario dat ze vonden: ze konden de OT-netwerken bereiken via overduidelijk onveilige cloudgebaseerde beheerinterfaces op de draadloze toegangspunten.

Veel van de apparaten die met cloudgebaseerd beheer worden geleverd, bevatten ook interfaces met zeer zwakke authenticatie of helemaal geen authenticatie. De InRouter302 en InRouter615 van InHand Networks gebruiken bijvoorbeeld standaard een onbeveiligde communicatielink naar het cloudplatform, waarbij informatie in leesbare tekst wordt verzonden.

"Het is een enkel punt van beveiliging en falen", zegt Dobrushin over de zwakke beheerinterfaces en "het belangrijkste aanvalsoppervlak" voor draadloze toegangspunten van fabrieken.

Het is aan de leveranciers van draadloze apparaten om hun webinterfaces beter te beveiligen. “Ik denk dat het grootste faalpunt hier niet het draadloze zelf is, niet de cloud zelf: het is het integratiepunt tussen de cloud en de moderne webgebaseerde wereld, naar de oude industriële wereld. Deze integratiepunten zijn niet sterk genoeg.”

Een RCE-kwetsbaarheid in de AceManager-webinterface van Sierra Wireless Airlink kan een aanvaller bijvoorbeeld kwaadaardige opdrachten laten injecteren. De kwetsbaarheid omzeilt eigenlijk een eerdere patch die Sierra in april 2019 had uitgegeven voor een andere bug, volgens Otorio.

Onderzoek naar zijwaartse beweging

Het onderzoek van Forescout laat ondertussen ook zien hoe Purdue Level 1 van een OT-netwerkbeveiliging niet zo luchtdicht is als veel industriële organisaties denken. De bevindingen van het bedrijf laten zien hoe een bedreigingsactor een aanval kan verspreiden over verschillende netwerksegmenten en netwerktypen op Purdue Level 1/controller-niveau van het OT-netwerk.

In hun proof-of-concept-aanval hackten de onderzoekers eerst een Wago-koppelingsapparaat om de Schneider M340 PLC te bereiken. Toen ze eenmaal bij de PLC waren, gebruikten ze twee nieuw onthulde kwetsbaarheden die ze vorig jaar voor het eerst ontdekten als onderdeel van de OT:ICEFALL reeks vulns maar konden niet onthullen totdat Schneider ze had gepatcht, CVE-2022-45788 (uitvoering van code op afstand) en CVE-2022-45789 (authenticatie-bypass). Hierdoor konden ze het interne authenticatieprotocol van de PLC omzeilen en via de PLC naar andere aangesloten apparaten gaan, waaronder een Allen-Bradley GuardLogix-veiligheidscontrolesysteem dat fabriekssystemen beschermt door ervoor te zorgen dat ze in een veilige fysieke staat werken. Vervolgens konden ze de veiligheidssystemen op de GuardLogix-backplane manipuleren.

Wat hun bevindingen onderscheidt, is dat er niet alleen wordt gekeken naar laterale beweging tussen Level 1-apparaten in hetzelfde netwerksegment of naar Layer 2 SCADA-systemen, maar ook naar de verspreiding over geneste apparaten en netwerken op Layer 1. En in tegenstelling tot eerder PLC-onderzoek, hebben Wetzels en Daniel dos Santos, hoofd beveiligingsonderzoek bij Forescout, heeft niet zomaar een PLC gehackt via een inherente kwetsbaarheid. In plaats daarvan draaiden ze van de PLC naar andere systemen die erop waren aangesloten om de beveiligings- en fysieke veiligheidscontroles binnen de OT-systemen te omzeilen.

“We praten niet alleen rechtstreeks [met] een van de PLC's. We stappen over op alle apparaten die erachter bestaan om de functionele en veiligheidsbeperkingen van de PLC te omzeilen die ertoe zouden leiden dat het apparaat het proces zou stoppen of afsluiten, zegt Wetzels. "Of ik kan de PLC manipuleren en fysieke schade aanrichten."

Wetzels zegt dat sommige leveranciers onjuiste richtlijnen geven aan OT-operators die stellen dat het "nesten" van PLC's via seriële links of niet-routeerbare OT-protocollen veilige segmentatie biedt voor die apparaten en het OT-netwerk. "We laten zien dat dit een verkeerde redenering is tegen een bepaald type aanvaller", zegt hij. De onderzoekers tonen aan dat alle apparaten - bijvoorbeeld klepcontrollers en sensoren - die zich onder de PLC in andere netwerken erachter bevinden, ook kunnen worden blootgesteld en een aanvaller meer gedetailleerde controle over de systemen kunnen bieden.

"Als je [de fysieke processen] op een diep niveau wilt manipuleren, ga je diep in die netwerken", zegt hij.

Een andere zwakke en vaak over het hoofd geziene schakel zijn netwerkverbindingen met externe onderhoudsproviders, bijvoorbeeld voor HVAC- of waterzuiveringsinstallaties. De onderhoudscontractant heeft vaak een externe verbinding met zijn systeempakket, dat vervolgens wordt gekoppeld aan het OT-netwerk. “De perimeter naar buiten die op niveau 1 bestaat, is niet verhard of bewaakt”, legt Wetzels uit.

Hoe u zich kunt verdedigen tegen deze bedreigingen voor OT

Voorlopers Wetzels en dos Santos bevelen aan dat OT-operators de status van hun Level 1-apparaten en interconnectiviteit opnieuw evalueren. “Zorg ervoor dat niets met cybermiddelen kan worden uitgeschakeld”, adviseert Wetzels.

Hij beveelt ook aan dat installaties met Ethernet-links die niet zijn voorzien van een firewall, een firewall moeten toevoegen. En zorg in ieder geval voor zichtbaarheid van het verkeer met een inbraakdetectiesysteem, zegt hij. Als de PLC's IP-gebaseerde toegangscontrolelijsten (ACL) en forensische inspectiefuncties bevatten, zet ze dan in om de apparaten te beschermen, zegt hij.

"Waarschijnlijk is er veel netwerkkruipruimte niet op je radar", zei Wetzels vandaag in zijn presentatie hier. "Op niveau 1 is tussen verschillende [netwerk] segmenten een perimeterbeveiligingsprofiel nodig."

Wat betreft de kwetsbaarheden en aanvallen van draadloze toegangspunten die Otorio onthulde, raden de onderzoekers aan om zwakke encryptie in apparaten voor draadloze toegang uit te schakelen, draadloze apparaten publiekelijk te maskeren of op zijn minst geautoriseerde apparaten op de witte lijst te zetten, en te zorgen voor sterke authenticatie voor IP-gebaseerde apparaten.

Ze adviseren ook om ongebruikte cloudgebaseerde services uit te schakelen, die doorgaans standaard zijn ingeschakeld, en firewalling en/of het toevoegen van Virtual Private Network (VPN)-tunnels tussen de verbindingen.

Tom Winston, directeur intelligentie-inhoud bij Dragos, zegt dat draadloze toegangspunten in het industriële netwerk multifactor-authenticatie moeten gebruiken. "Toegangscontrole is altijd een punt van zorg."

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
Bron: https://www.darkreading.com/ics-ot/ot-network-security-myths-busted-in-a-pair-of-hacks

Generatieve data-intelligentie

OT-netwerkbeveiligingsmythen ontkracht in een paar hacks

Draadloze dreiging "trok onze aandacht"

Onderzoek naar zijwaartse beweging

Hoe u zich kunt verdedigen tegen deze bedreigingen voor OT

Steunen Florida Hispanics abortus en marihuana-amendementen? – Verbinding met het medische marihuanaprogramma

Carlie Hanson brengt hulde met haar oprechte cover van Alice In Chains' 'Nutshell'

Laatste intelligentie

Hyundai gaat meer hybrides bouwen om de afnemende vraag naar elektrische voertuigen aan te vullen – Autoblog

Drake bedreigd met rechtszaak over Tupac AI-zang

Exclusieve Trump Bitcoin NFT's met aangepaste rangtelwoorden voor kopers van 'Mugshot Edition' - CryptoInfoNet

Bedrijf biedt digitale financiële geletterdheidstraining voor Nigerianen - CryptoInfoNet

BDAG leidt de top 5 van veelbelovende crypto-voorverkoop van 2024

Hoe u het marktsentiment kunt beoordelen voordat u cryptocurrency koopt