Nozomi Networks e le vulnerabilità critiche nei device Siemens Desigo

La National Security Agency (NSA) e la Cybersecurity and Infrastructure Security Agency (CISA) hanno recentemente pubblicato una raccomandazione congiunta del Cybersecurity Advisory “Control System Defense: Know the Opponent“, che descrive tattiche, tecniche e procedure (TTP) utilizzate dagli attori malevoli per compromettere le risorse OT/ICS. Una delle tecniche menzionate è il MITRE ATT&CK T0832 “Manipulation of View“, utilizzata durante un attacco informatico alla rete elettrica ucraina. L’obiettivo di questo tipo di attacco è “screditare la capacità dell’operatore di monitorare il sistema attaccato o indurre l’operatore a perdere fiducia nella capacità del sistema di controllo di operare, controllare e monitorare il sistema attaccato. Dal punto di vista pratico, l’attacco potrebbe configurarsi come un’impossibilità di aggiornare il display dell’operatore (interfaccia uomo-macchina, o HMI) e di aggiornare o modificare selettivamente le visualizzazioni sull’HMI […]”.

A maggio 2022, Nozomi Network Labs ha reso noti i risultati della ricerca sulla sicurezza di Siemens PXC4.E16, un sistema di building automation (BAS) della famiglia dei sistemi Desigo/APOGEE per impianti HVAC e di assistenza agli edifici. Nella stessa ricerca, era stato analizzato anche Siemens PXM30.E, un touch panel con web server integrato per il monitoraggio remoto del BAS.

Ora, Nozomi Network Labs ha individuato sette vulnerabilità (tracciate sotto Siemens SSA-360783) che interessano diversi dispositivi Desigo Control Point di Siemens. Tali vulnerabilità potrebbero consentire ad attori malevoli di accedere a informazioni sensibili, eseguire comandi arbitrari, lanciare un attacco Denial-of-Service (DoS) o ottenere l’esecuzione di codice da remoto (RCE).

Gli utenti possono interagire con PXM30.E in tre modi:

1. Da remoto tramite ABT Site, un software basato su PC che può progettare ed eseguire i sistemi di building automation di Siemens. ABT Site viene utilizzato per definire la struttura degli edifici, configurare le reti e i dispositivi di automazione, generare report sullo status dei processi di progettazione ed esecuzione, configurare applicazioni di “room automation” stazioni di automazione e dispositivi intelligenti sul campo, fino a creare grafici per i dispositivi Desigo Control Point;

2. Da remoto attraverso la web app relativa al device stesso, che consente all’operatore di monitorare le funzioni dell’impianto (allarmi, schedulatori, calendari, modifiche ai set point, visualizzazione delle misure dei sensori, ecc), e al tempo stesso eseguire operazioni di manutenzione sul dispositivo stesso;

3. Fisicamente, tramite il pannello touch del dispositivo, che presenta un browser web basato su Chromium e configurato per l’accesso alla stessa applicazione web disponibile da remoto.

Analizzando il dispositivo, Nozomi Networks ha individuato sette vulnerabilità specifiche che possono inficiare su tutte e tre le superfici di attacco elencate. Le vulnerabilità e i relativi effetti potenziali sono esposti in modo dettagliato.

Le HMI rappresentano un obiettivo di attacco critico che è necessario proteggere adeguatamente all’interno di una rete di produzione. Come si legge nel MITRE ATT&CK T0832, “con una visione alterata dei sistemi, gli operatori possono emettere sequenze di controllo non appropriate che generano errori o causano guasti non indifferenti al sistema. I sistemi di analisi aziendale, poi, possono ricevere dati imprecisi che portano a decisioni gestionali sbagliate”. Si tratta di scenari di attacco molto plausibili: come conferma la raccomandazione congiunta dell’NSA e del CISA, gli attacchi informatici contro i sistemi HMI e dispositivi simili sono uno dei pattern di attacco più comuni per causare intrusioni reali nei sistemi.

Siemens ha già rilasciato aggiornamenti per correggere tutti i problemi, oltre a un avviso di sicurezza ufficiale e alla nota 109813821 di supporto al prodotto che fornisce ulteriori dettagli su come applicare i patch ai dispositivi interessati.

La raccomandazione di Nozomi Networks agli utenti è quella di aggiornare prontamente tutti i dispositivi vulnerabili applicando le patch rilasciate da Siemens. Inoltre, Nozomi Networks ha rilasciato aggiornamenti specifici del servizio Threat Intelligence per rilevare i tentativi di sfruttamento di tali vulnerabilità.

Contenuti correlati

• 
  Le previsioni di Axis per la sicurezza nel 2025

  Axis Communications, azienda focalizzata sulla sorveglianza video di rete, ha individuato le principali tendenze che influenzeranno il settore della sicurezza nel 2025. L’analisi è di Johan Paulsson, Mats Thulin e Thomas Ekdahl, rispettivamente CTO, Director Core Technologies...
• 
  Il successo degli IC per la sicurezza a 28nm di Infineon

  Infineon prevede che, entro la primavera del 2025, la tecnologia a 28 nm sarà integrata in 1 miliardo di dispositivi di sicurezza. Questo ramp-up particolarmente rapido si basa, secondo il produttore, sulle caratteristiche della tecnologia a 28...
• 
  Come AI e ML stanno trasformando la cybersicurezza OT

  Moreno Carullo, Co-founder, Chief Technical Officer, Nozomi Networks L’intelligenza artificiale (AI) sta vivendo un momento di assoluta popolarità, un periodo in realtà piuttosto lungo. Parliamo di una tecnologia che esiste da decenni e si è continuamente evoluta,...
• 
  Un sensore di sicurezza per i sistemi di controllo industriale da Nozomi Networks

  Arc Embedded è una nuova offerta di sicurezza di Nozomi Networks in grado di fornire una visibilità estesa e in tempo reale sulle operazioni interne dei sistemi di controllo industriale e delle loro risorse sul campo. Questo...
• 
  Nuova ricerca di Palo Alto Networks sugli attacchi continui agli ambienti OT

  Il nuovo report “The State of OT Security: a Comprehensive Guide to Trends, Risks, and Cyber Resilience”, di Palo Alto Networks, realizzato in collaborazione con ABI Research, evidenzia che due imprese italiane su cinque subiscono mensilmente attacchi...
• 
  Benefici e rischi dei Large Language Model nel cloud

  Di Tristano Ermini, Manager, Systems Engineering di Palo Alto Networks Qual è la correlazione tra i modelli linguistici di grandi dimensioni (LLM) e la sicurezza cloud? Questi modelli avanzati possono essere pericolosi, ma possono anche essere utilizzati...
• 
  Strumenti OSINT, un’arma efficace al servizio della sicurezza IT

  Di Andy Thompson, Offence Cybersecurity Research Evangelist di CyberArk Sotto il nome di Open Source Intelligence (OSINT) si cela in realtà una disciplina che risale agli albori dell’umanità ed è, in sostanza, uno sforzo per raccogliere e...
• 
  Sicurezza del software: perché formazione e aggiornamento degli sviluppatori devono cambiare

  A cura di Massimo Tripodi, Country Manager di Veracode Italia Quali metodi preferiscono utilizzare gli hacker per colpire le loro vittime dall’esterno? Il 26% colpisce la catena di fornitura del software, il 25% esegue exploit di vulnerabilità...
• 
  Sicurezza Shift-Left: i fattori principali da considerare prima di implementarla

  Gli esperti di Palo Alto Networks analizzano le criticità dell Sicurezza Shift-Left e offrono consigli su e come agire per evitare falle nei sistemi di sicurezza. Il termine “Shift-Left” si riferisce al ciclo di vita dello sviluppo...
• 
  Collaborazione fra RS Italia e PVS S.p.A. per un ambiente di lavoro più sicuro

  RS Italia ha annunciato la sua collaborazione con PVS S.p.A. per tutelare la sicurezza e la salute delle persone. “La priorità assoluta per noi è la salute, la sicurezza e il benessere dei nostri collaboratori”, ha spiegato...