Nozomi Networks e le vulnerabilità critiche nei device Siemens Desigo

La National Security Agency (NSA) e la Cybersecurity and Infrastructure Security Agency (CISA) hanno recentemente pubblicato una raccomandazione congiunta del Cybersecurity Advisory “Control System Defense: Know the Opponent“, che descrive tattiche, tecniche e procedure (TTP) utilizzate dagli attori malevoli per compromettere le risorse OT/ICS. Una delle tecniche menzionate è il MITRE ATT&CK T0832 “Manipulation of View“, utilizzata durante un attacco informatico alla rete elettrica ucraina. L’obiettivo di questo tipo di attacco è “screditare la capacità dell’operatore di monitorare il sistema attaccato o indurre l’operatore a perdere fiducia nella capacità del sistema di controllo di operare, controllare e monitorare il sistema attaccato. Dal punto di vista pratico, l’attacco potrebbe configurarsi come un’impossibilità di aggiornare il display dell’operatore (interfaccia uomo-macchina, o HMI) e di aggiornare o modificare selettivamente le visualizzazioni sull’HMI […]”.

A maggio 2022, Nozomi Network Labs ha reso noti i risultati della ricerca sulla sicurezza di Siemens PXC4.E16, un sistema di building automation (BAS) della famiglia dei sistemi Desigo/APOGEE per impianti HVAC e di assistenza agli edifici. Nella stessa ricerca, era stato analizzato anche Siemens PXM30.E, un touch panel con web server integrato per il monitoraggio remoto del BAS.

Ora, Nozomi Network Labs ha individuato sette vulnerabilità (tracciate sotto Siemens SSA-360783) che interessano diversi dispositivi Desigo Control Point di Siemens. Tali vulnerabilità potrebbero consentire ad attori malevoli di accedere a informazioni sensibili, eseguire comandi arbitrari, lanciare un attacco Denial-of-Service (DoS) o ottenere l’esecuzione di codice da remoto (RCE).

Gli utenti possono interagire con PXM30.E in tre modi:

1. Da remoto tramite ABT Site, un software basato su PC che può progettare ed eseguire i sistemi di building automation di Siemens. ABT Site viene utilizzato per definire la struttura degli edifici, configurare le reti e i dispositivi di automazione, generare report sullo status dei processi di progettazione ed esecuzione, configurare applicazioni di “room automation” stazioni di automazione e dispositivi intelligenti sul campo, fino a creare grafici per i dispositivi Desigo Control Point;

2. Da remoto attraverso la web app relativa al device stesso, che consente all’operatore di monitorare le funzioni dell’impianto (allarmi, schedulatori, calendari, modifiche ai set point, visualizzazione delle misure dei sensori, ecc), e al tempo stesso eseguire operazioni di manutenzione sul dispositivo stesso;

3. Fisicamente, tramite il pannello touch del dispositivo, che presenta un browser web basato su Chromium e configurato per l’accesso alla stessa applicazione web disponibile da remoto.

Analizzando il dispositivo, Nozomi Networks ha individuato sette vulnerabilità specifiche che possono inficiare su tutte e tre le superfici di attacco elencate. Le vulnerabilità e i relativi effetti potenziali sono esposti in modo dettagliato.

Le HMI rappresentano un obiettivo di attacco critico che è necessario proteggere adeguatamente all’interno di una rete di produzione. Come si legge nel MITRE ATT&CK T0832, “con una visione alterata dei sistemi, gli operatori possono emettere sequenze di controllo non appropriate che generano errori o causano guasti non indifferenti al sistema. I sistemi di analisi aziendale, poi, possono ricevere dati imprecisi che portano a decisioni gestionali sbagliate”. Si tratta di scenari di attacco molto plausibili: come conferma la raccomandazione congiunta dell’NSA e del CISA, gli attacchi informatici contro i sistemi HMI e dispositivi simili sono uno dei pattern di attacco più comuni per causare intrusioni reali nei sistemi.

Siemens ha già rilasciato aggiornamenti per correggere tutti i problemi, oltre a un avviso di sicurezza ufficiale e alla nota 109813821 di supporto al prodotto che fornisce ulteriori dettagli su come applicare i patch ai dispositivi interessati.

La raccomandazione di Nozomi Networks agli utenti è quella di aggiornare prontamente tutti i dispositivi vulnerabili applicando le patch rilasciate da Siemens. Inoltre, Nozomi Networks ha rilasciato aggiornamenti specifici del servizio Threat Intelligence per rilevare i tentativi di sfruttamento di tali vulnerabilità.

Contenuti correlati

• 
  La sicurezza di Sysgo a embedded world

  Sysgo, azienda specializzata nei sistemi embedded critici per sicurezza funzionale (safety) e sicurezza informatica (security), parteciperà a embbedd world 2026 con le sue soluzioni, comprese quelle progettate per soddisfare i requisiti del Cyber Resilience Act (CRA). Lo...
• 
  Securitas adotta la tecnologia di Rohde & Schwarz

  Rohde & Schwarz e Securitas, azienda specializzata in soluzioni di sicurezza, hanno siglato una partnership strategica a lungo termine per un nuovo standard per la sicurezza dei data center. La collaborazione tra le due aziende è incentrata sulla...
• 
  AI e fattore umano: la sinergia vincente per la sicurezza industriale del futuro

  Di Chris Grove, Director Cybersecurity Strategy, Nozomi Networks Il panorama industriale è nel mezzo di una profonda trasformazione, che vede gli ambienti di Tecnologia Operativa (OT), un tempo isolati, sempre più strettamente intrecciati con l’IT e l’Internet...
• 
  Mitsubishi Electric acquisisce Nozomi Networks

  Nozomi Networks e Mitsubishi Electric Corporation hanno siglato un accordo definitivo che prevede l’acquisizione dell’azienda specializzata nella sicurezza OT, IoT e CPS da parte di Mitsubishi Electric. Al termine dell’operazione, prevista nel quarto trimestre del 2025, Nozomi...
• 
  Colmare il divario di sicurezza: perché la prevenzione deve essere il nuovo standard per gli ambienti OT

  Di Nicola Altavilla, Director of the Mediterranean Region di Armis Nonostante i crescenti investimenti in OT, il settore manifatturiero italiano rimane esposto ai rischi informatici. Una protezione efficace inizia da una visibilità completa, dal controllo continuo degli...
• 
  Sicurezza del cloud al top senza contrariare gli sviluppatori

  Di Brooke Jameson, senior product marketing manager di CyberArk Preziosi per il progresso e l’evoluzione di qualunque organizzazione, gli sviluppatori devono innovare rapidamente e, al tempo stesso, adeguare le proprie attività quotidiane a requisiti di sicurezza nel...
• 
  L’anello mancante nella difesa industriale: il ruolo fondamentale della sicurezza OT e per il settore manifatturiero

  Di Giorgio Triolo, Chief Technology Officer di Axitea Da sempre, il settore manifatturiero italiano è un solido pilastro dell’economia nazionale. Anche per questo, è sempre più spesso nel mirino dei cybercriminali. La gravità della situazione è inequivocabile:...
• 
  Report sulla sicurezza OT e IoT dai Nozomi Networks Labs

  Dai dati del recente report sulla sicurezza OT e IoT dei Nozomi Networks Labs emerge una protezione delle reti wireless non adeguata alle necessità, un problema che ha permesso, nella seconda metà dello scorso anno, di registrare...
• 
  DeepSeek: il commento di ESET

  Le performance di DeepSeek hanno scosso il settore dell’IA, con diverse ripercussioni sui mercati. La startup cinese infatti ha rilasciato modelli di intelligenza artificiale affermando che possono competere con quelli delle principali aziende statunitensi, ma a costi...
• 
  Le previsioni di Axis per la sicurezza nel 2025

  Axis Communications, azienda focalizzata sulla sorveglianza video di rete, ha individuato le principali tendenze che influenzeranno il settore della sicurezza nel 2025. L’analisi è di Johan Paulsson, Mats Thulin e Thomas Ekdahl, rispettivamente CTO, Director Core Technologies...