S4x23 — Miami — Hızla dijitalleşen endüstriyel sektörde BT ve operasyonel teknoloji (OT) ağ hatları bulanıklaşmaya devam ederken, yeni güvenlik açıkları ve tehditler, bir zamanlar fiziksel süreçleri siber saldırılardan izole eden ve koruyan geleneksel OT güvenlik önlemlerini tehlikeye atıyor.

Bu ay yayınlanan iki yeni araştırma seti, günümüzün OT ağlarındaki kablosuz cihazlardan, bulut tabanlı uygulamalardan ve programlanabilir mantık denetleyicilerinden (PLC’ler) oluşan iç içe ağlardan kaynaklanan fiziksel operasyonlara yönelik gerçek, gizli tehlikelerin altını çiziyor. ağ segmentasyonu ve ağa üçüncü taraf bağlantıları.

Bir dizi bulguya göre, Forescout Technologies’den bir araştırma ekibi, bir OT ağındaki güvenlik ve fonksiyonel korkulukları atlamayı ve ağın en alt seviyelerinde farklı ağ segmentlerinde yanal olarak hareket etmeyi başardı: kontrolör seviyesi (aka Purdue seviye 1), burada PLC’ler bir endüstriyel tesisin fiziksel operasyonlarını yaşar ve yürütür. Araştırmacılar, PLC’yi ihlal etmek ve PLC’den bağlı cihazlara dönerek saldırıyı bir sonraki seviyeye taşımak için buldukları yeni açıklanan iki Schneider Modicon M340 PLC güvenlik açığını (bir uzaktan kod yürütme (RCE) hatası ve bir kimlik doğrulama atlama güvenlik açığı) kullandı. hain fiziksel operasyonlar gerçekleştirmeleri için onları manipüle etmek için.

“Varlık sahipleri ve diğer taraflar arasında Seviye 1 cihazların ve Seviye 1 ağların bir şekilde normal Ethernet ağlarından ve Windows’tan farklı olduğu fikrini ortadan kaldırmaya çalışıyoruz. [machines] Forescout’un güvenlik araştırmacısı Jos Wetzels, “Bu sistemlere erişilebilir ve doğru kontrol düzeyine sahipseniz güvenlik kontrollerini atlayabilirsiniz. Bunun nasıl yapılacağını gösteriyoruz.”

Araştırmacıların bir kavram kanıtı (PoC) ile gösterdikleri ve ulus-devlet saldırganlarının teknik becerilerini ve kaynaklarını gerektireceğini kabul ettikleri son derece karmaşık saldırı sekansı, başka bir grubun kullandığı nispeten basit yeni bir hack ile tam bir tezat oluşturuyor. kablosuz ağ cihazları aracılığıyla bitkileri ortaya çıkaran araştırmacı sayısı. Bu ayrı OT saldırı bulguları setlerinin her ikisi de, OT ağlarının alt katmanlarındaki geleneksel doğal güvenlik varsayımlarında delikler açıyor ve onların arkasındaki iki araştırma ekibi, bulgularını bu hafta burada, S4x23 ICS/OT konferansında paylaştı.

Kablosuz Tehdit “Dikkatimizi Çekti”

İkinci araştırma grubunda, ICS güvenlik sağlayıcısı Otorio’daki bir ekip, hücresel dahil olmak üzere ürünlerde yaklaşık 38 güvenlik açığı buldu. Sierra Wireless’tan yönlendiriciler Ve Eldeki Ağlarve bir ETIC Telecom’dan makineler için uzaktan erişim sunucusu. Etkilenen satıcılarla açıklama sürecinde bir düzine başka hata kaldı ve raporda adı verilmedi.

Açıklar, bir saldırgana OT ağlarına doğrudan erişim hattı sağlayabilecek iki düzine Web arabirimi hatasını içerir.

Otorio’da araştırmadan sorumlu başkan yardımcısı Matan Dobrushin, ekibinin dünyadaki kablosuz erişim noktalarını bulan ve haritasını çıkaran Shodan tarzı bir arama uygulaması olan açık kaynaklı WiGLE aracını kullandığını söylüyor. WiGLE, SSID veya ağ adlarını, şifreleme türlerini (WEP veya WPA gibi) ve bir kablosuz erişim noktasının coğrafi konumunu toplar. Ekip, WiGL’nin tespit ettiği coğrafi konumlu Ap’ler aracılığıyla çeşitli OT sitelerinin yerini tespit edebildi. Bunlar arasında, kablosuz cihazında kimlik doğrulaması zayıf olan bir petrol kuyusu da var.

Ekip, endüstriyel Wi-Fi erişim noktalarını ve hücresel ağ geçitlerini hacklemek ve üretim sahalarındaki fiziksel makineleri manipüle etmek veya sabote etmek için ortadaki adam saldırıları başlatmak için nispeten basit yollar keşfetti. Araştırmacılara göre bir saldırı senaryosunda, bir dizüstü bilgisayarla donanmış bir saldırgan bir fabrika konumunu bulup oraya gidebilir ve operasyonel ağa bağlanabilir.

“Kurumsal BT ağının veya güvenlik duvarlarının tüm katmanlarından geçmek zorunda değilsiniz. Bu örnekte, birinin bir dizüstü bilgisayarla gelip doğrudan o ağın en hassas fiziksel kısmına bağlanması yeterli.” Dobrushin diyor. “Dikkatimizi çeken bu oldu.”

Fiziksel yakınlık, ekibin bu kablosuz cihazlardaki güvenlik açıklarını bulduğunda keşfettiği üç saldırı senaryosundan yalnızca biri. Ayrıca, yanlışlıkla halka açık İnternet’e açık olan ve sık sık ifşa olan IP adresleri aracılığıyla tesisin kablosuz cihazlarına da ulaşabilirler. Ancak buldukları üçüncü ve en şaşırtıcı saldırı senaryosu: Kablosuz erişim noktalarındaki bariz bir şekilde güvensiz bulut tabanlı yönetim arayüzleri aracılığıyla OT ağlarına ulaşabilirler.

Bulut tabanlı yönetimle gelen cihazların çoğu, kimlik doğrulaması çok zayıf olan veya hiç kimlik doğrulaması olmayan arayüzler içerir. Örneğin, InHand Networks’ün InRouter302 ve InRouter615’i, bilgileri açık metin olarak göndererek varsayılan olarak bulut platformuna güvenli olmayan bir iletişim bağlantısı kullanır.

Dobrushin, zayıf yönetim arabirimleri ve tesis kablosuz erişim noktaları için “ana saldırı yüzeyi” hakkında “Bu tek bir güvenlik ve arıza noktasıdır” diyor.

Web arayüzlerini daha iyi güvence altına alma sorumluluğu, kablosuz cihaz satıcılarının üzerindedir. “Bence buradaki en büyük başarısızlık noktası kablosuzun kendisi değil, bulutun kendisi değil: Bulut ve modern Web tabanlı dünya ile eski endüstriyel dünya arasındaki entegrasyon noktası. Bu entegrasyon noktaları yeterince güçlü değil.”

Örneğin, Sierra Wireless Airlink’in AceManager Web arayüzündeki bir RCE güvenlik açığı, bir saldırganın kötü amaçlı komutlar eklemesine izin verebilir. Otorio’ya göre güvenlik açığı, Sierra’nın Nisan 2019’da yayınladığı önceki bir yamayı başka bir hata nedeniyle atlıyor.

Yanal Hareket Araştırması

Bu arada Forescout’un araştırması, bir OT ağ güvenliğinin Purdue Seviye 1’inin birçok endüstriyel kuruluşun düşündüğü kadar sıkı olmadığını da gösteriyor. Şirketin bulguları, bir tehdit aktörünün bir saldırıyı OT ağının Purdue Seviye 1/denetleyici seviyesindeki çeşitli ağ segmentleri ve ağ türlerine nasıl yayabileceğini gösteriyor.

Kavram kanıtlama saldırısında araştırmacılar, Schneider M340 PLC’ye ulaşmak için önce bir Wago kuplör cihazını hacklediler. PLC’ye ulaştıklarında, ilk kez geçen yıl buldukları yeni açıklanan iki güvenlik açığını kullandılar. OT:ICEFALL güvenlik açığı seti ancak Schneider onları yamalayana kadar açıklayamadılar, CVE-2022-45788 (uzaktan kod yürütme) ve CVE-2022-45789 (kimlik doğrulama atlaması). Bu, PLC’nin dahili kimlik doğrulama protokolünü atlamalarına ve tesis sistemlerini güvenli bir fiziksel durumda çalışmalarını sağlayarak koruyan bir Allen-Bradley GuardLogix güvenlik kontrol sistemi dahil olmak üzere PLC üzerinden diğer bağlı cihazlara geçmelerine izin verdi. Ardından, GuardLogix arka panelindeki güvenlik sistemlerini manipüle edebildiler.

Bulgularını diğerlerinden ayıran şey, yalnızca aynı ağ segmentindeki 1. Seviye cihazlar veya 2. Katman SCADA sistemleri arasındaki yanal harekete değil, 1. Katmandaki yuvalanmış cihazlara ve ağlara yayılan yanal harekete bakmasıdır. Ve önceki PLC araştırmasının aksine, Wetzels ve Daniel dos Forescout’ta güvenlik araştırma başkanı olan Santos, bir PLC’yi yalnızca doğal bir güvenlik açığı aracılığıyla hacklemedi. Bunun yerine, OT sistemlerindeki güvenlik ve fiziksel güvenlik kontrollerini atlamak için PLC’den ona bağlı diğer sistemlere geçtiler.

“Sadece doğrudan konuşmuyoruz [to] PLC’lerden biri. Wetzels, “PLC’nin, cihazın işlemi durdurmasına veya kapatmasına neden olabilecek işlevsel ve güvenlik kısıtlamalarını atlamak için arkasında bulunan tüm cihazlara geçiyoruz” diyor. “Ya da PLC’yi manipüle edip fiziksel hasara neden olabilirim.”

Wetzels, bazı satıcıların OT operatörlerine yanlış rehberlik sağladığını ve seri bağlantılar veya yönlendirilemeyen OT protokolleri aracılığıyla PLC’leri “iç içe yerleştirmenin” bu cihazlar ve OT ağı için güvenli segmentasyon sağladığını söylüyor. “Bunun belirli bir saldırgan türüne karşı yanlış bir mantık olduğunu gösteriyoruz” diyor. Araştırmacılar, PLC’nin arkasındaki diğer ağlarda bulunan valf kontrolörleri ve sensörler gibi tüm cihazların da açığa çıkabileceğini ve bir saldırgana sistemlerin daha ayrıntılı kontrolünü sağlayabileceğini gösteriyor.

“Manipüle etmek istiyorsanız [the physical processes] derin bir seviyede, bu ağların derinliklerine inersiniz” diyor.

Bir başka zayıf ve genellikle gözden kaçan bağlantı, örneğin HVAC veya su arıtma tesisi işleri için üçüncü taraf bakım sağlayıcılarına yapılan ağ bağlantılarıdır. Bakım yüklenicisi, genellikle, daha sonra OT ağı ile arayüz oluşturan, paket sistemlerine uzak bir bağlantıya sahiptir. Wetzels, “Seviye 1’de bulunan dışarıdaki çevre sertleştirilmemiş veya izlenmiyor” diye açıklıyor.

OT’ye Yönelik Bu Tehditlere Karşı Nasıl Savunma Yapılır?

tahminci Wetzels ve dos Santos, OT operatörlerinin Seviye 1 cihazlarının durumunu ve ara bağlantılarını yeniden değerlendirmelerini tavsiye ediyor. Wetzels, “Hiçbir şeyin siber yollarla devre dışı bırakılamayacağından emin olun” tavsiyesinde bulunuyor.

Ayrıca, güvenlik duvarı olmayan Ethernet bağlantılarına sahip tesislerin bir güvenlik duvarı eklemesini önerir. Ve en azından, izinsiz giriş tespit sistemi ile trafiğin görünürlüğünü sağlayın, diyor. PLC’ler IP tabanlı erişim kontrol listesi (ACL) ve adli inceleme işlevleri içeriyorsa, cihazları güçlendirmek için bunları kullanın, diyor.

Wetzels bugün burada yaptığı sunumda, “Muhtemelen radarınızda olmayan çok sayıda ağ tarama alanı vardır,” dedi. “Seviye 1’de, farklı [network] segmentlerinin bir çevre güvenlik profiline ihtiyacı var.”

Otorio’nun ortaya çıkardığı kablosuz erişim noktası güvenlik açıkları ve saldırılara gelince, araştırmacılar kablosuz erişim cihazlarında zayıf şifrelemenin devre dışı bırakılmasını, kablosuz cihazların kamuya açık olarak maskelenmesini veya en azından yetkili cihazların beyaz listeye alınmasını ve IP tabanlı cihazlar için güçlü kimlik doğrulamanın sağlanmasını öneriyor.

Ayrıca, genellikle varsayılan olarak açık olan kullanılmayan bulut tabanlı hizmetlerin devre dışı bırakılmasını ve bağlantılar arasına güvenlik duvarı kurulmasını ve/veya sanal özel ağ (VPN) tünellerinin eklenmesini önerirler.

Dragos’ta istihbarat içeriği direktörü Tom Winston, endüstriyel ağdaki kablosuz erişim noktalarının çok faktörlü kimlik doğrulama kullanması gerektiğini söylüyor. “Erişim kontrolü her zaman bir endişe kaynağıdır.”



siber-1