A Kaspersky ICS CERT investigou o Unified Messaging Application Services (UMAS) da Schneider Electric e as vulnerabilidades deste protocolo altamente popular, que é utilizado em múltiplas indústrias - desde o fabrico até aos sistemas de controlo de elevadores. Explorando as vulnerabilidades descritas, os atacantes poderiam obter acesso a todo o sistema de automação de uma entidade.
O UMAS (Unified Messaging Application Services) é o protocolo proprietário da Schneider Electric utilizado para configurar, monitorizar, recolher dados e controlar os controladores industriais da Schneider Electric. O uso do protocolo é muito difundido entre diferentes indústrias. As questões descritas pelos peritos Kaspersky ICS CERT referem-se ao acesso não autorizado ao controlador lógico programável (PLC) e às formas que os cibercriminosos tomam para contornar a autenticação.
Em 2020, foi relatada a vulnerabilidade, CVE-2020-28212, que poderia ser explorada por um atacante remoto não autorizado para obter o controlo de um controlador lógico programável (PLC) com os privilégios de um operador já autenticado no controlador. Para resolver a vulnerabilidade, a Schneider Electric desenvolveu um novo mecanismo, Senha de Aplicação, que deverá fornecer proteção contra acesso não autorizado a PLCs e modificações indesejadas.
Uma análise conduzida por peritos Kaspersky ICS CERT mostrou que a implementação do novo mecanismo de segurança também tem falhas. A vulnerabilidade CVE-2021-22779, que foi identificada no decurso da investigação, poderia permitir que um atacante remoto fizesse alterações ao PLC, contornando a autenticação.
Como os investigadores averiguaram, o principal problema era que os dados de autenticação utilizados para "reservar" o dispositivo para modificação eram calculados inteiramente do lado do cliente, e o "segredo" utilizado podia ser obtido do PLC sem autenticação.
Para ajudar os clientes a mitigar as questões acima mencionadas, a Schneider Electric publicou um parecer com recomendações de segurança. A Kaspersky ICS CERT, por sua vez, recomenda a utilização adicional de monitorização de redes e de soluções de análise profunda de protocolos industriais, tais como Kaspersky Industrial CyberSecurity for Networks, para monitorizar e controlar as tentativas de acesso remoto a dispositivos PLC.
"O panorama de ameaças está em constante evolução, e a estratégia de segurança de uma organização deve também evoluir constantemente para enfrentar novos desafios. Actualmente, a construção de um sistema de segurança cibernética não é um estado final, mas um processo proactivo contínuo - o que é provado pelo exemplo do protocolo UMAS. Estamos gratos por a Schneider Electric ter conseguido responder rapidamente às vulnerabilidades descobertas e fornecer aos seus clientes a solução e recomendações adequadas. Contudo, o nosso conselho a todos os responsáveis pela segurança dentro de uma empresa é implementar soluções especiais," – comenta Pavel Nesterov, security expert na ICS CERT Kaspersky.
Saiba mais sobre o protocolo UMAS da Schneider Electric e os seus "segredos" no ICS CERT
Para manter os seus computadores ICS protegidos contra várias ameaças, os peritos Kaspersky recomendam:
- Actualizar regularmente sistemas operativos e software de aplicação que fazem parte da rede da empresa. Aplicar correcções e patches de segurança ao equipamento informático e de rede OT logo que estes estejam disponíveis.
- Realizar auditorias regulares de segurança dos sistemas informáticos e OT para identificar e eliminar possíveis vulnerabilidades
- Utilizar o produto de monitorização, análise e detecção de tráfego de rede ICS Kaspersky Industrial CyberSecurity for Networks para uma melhor protecção contra ataques que potencialmente ameacem os processos tecnológicos e os principais activos empresariais. O módulo especial de Controlo de Comando detecta a exploração de vulnerabilidades no protocolo UMAS, quando um atacante tenta executar o comando "Controlador de reserva". Outro módulo Controlo de Integridade de Rede regista ligações não autorizadas à rede. Todos os eventos são combinados num incidente e enviados para o administrador para investigação adicional.
- Pôr em prática uma formação dedicada à segurança para equipas de segurança informática e engenheiros OT, para melhorar a resposta a novas e avançadas técnicas maliciosas
- Fornecer à equipa de segurança responsável, pela protecção dos sistemas de controlo industrial, informações actualizadas sobre ameaças. O nosso serviço ICS Threat Intelligence Reporting fornece informações sobre ameaças e vectores de ataque actuais, bem como os elementos mais vulneráveis nos OT e sistemas de controlo industrial e como mitigá-los
Post A Comment:
0 comments: