Nozomi Networks e le vulnerabilità critiche nei device Siemens Desigo

La National Security Agency (NSA) e la Cybersecurity and Infrastructure Security Agency (CISA) hanno recentemente pubblicato una raccomandazione congiunta del Cybersecurity Advisory “Control System Defense: Know the Opponent“, che descrive tattiche, tecniche e procedure (TTP) utilizzate dagli attori malevoli per compromettere le risorse OT/ICS. Una delle tecniche menzionate è il MITRE ATT&CK T0832 “Manipulation of View“, utilizzata durante un attacco informatico alla rete elettrica ucraina. L’obiettivo di questo tipo di attacco è “screditare la capacità dell’operatore di monitorare il sistema attaccato o indurre l’operatore a perdere fiducia nella capacità del sistema di controllo di operare, controllare e monitorare il sistema attaccato. Dal punto di vista pratico, l’attacco potrebbe configurarsi come un’impossibilità di aggiornare il display dell’operatore (interfaccia uomo-macchina, o HMI) e di aggiornare o modificare selettivamente le visualizzazioni sull’HMI […]”.

A maggio 2022, Nozomi Network Labs ha reso noti i risultati della ricerca sulla sicurezza di Siemens PXC4.E16, un sistema di building automation (BAS) della famiglia dei sistemi Desigo/APOGEE per impianti HVAC e di assistenza agli edifici. Nella stessa ricerca, era stato analizzato anche Siemens PXM30.E, un touch panel con web server integrato per il monitoraggio remoto del BAS.

Ora, Nozomi Network Labs ha individuato sette vulnerabilità (tracciate sotto Siemens SSA-360783) che interessano diversi dispositivi Desigo Control Point di Siemens. Tali vulnerabilità potrebbero consentire ad attori malevoli di accedere a informazioni sensibili, eseguire comandi arbitrari, lanciare un attacco Denial-of-Service (DoS) o ottenere l’esecuzione di codice da remoto (RCE).

Gli utenti possono interagire con PXM30.E in tre modi:

1. Da remoto tramite ABT Site, un software basato su PC che può progettare ed eseguire i sistemi di building automation di Siemens. ABT Site viene utilizzato per definire la struttura degli edifici, configurare le reti e i dispositivi di automazione, generare report sullo status dei processi di progettazione ed esecuzione, configurare applicazioni di “room automation” stazioni di automazione e dispositivi intelligenti sul campo, fino a creare grafici per i dispositivi Desigo Control Point;

2. Da remoto attraverso la web app relativa al device stesso, che consente all’operatore di monitorare le funzioni dell’impianto (allarmi, schedulatori, calendari, modifiche ai set point, visualizzazione delle misure dei sensori, ecc), e al tempo stesso eseguire operazioni di manutenzione sul dispositivo stesso;

3. Fisicamente, tramite il pannello touch del dispositivo, che presenta un browser web basato su Chromium e configurato per l’accesso alla stessa applicazione web disponibile da remoto.

Analizzando il dispositivo, Nozomi Networks ha individuato sette vulnerabilità specifiche che possono inficiare su tutte e tre le superfici di attacco elencate. Le vulnerabilità e i relativi effetti potenziali sono esposti in modo dettagliato.

Le HMI rappresentano un obiettivo di attacco critico che è necessario proteggere adeguatamente all’interno di una rete di produzione. Come si legge nel MITRE ATT&CK T0832, “con una visione alterata dei sistemi, gli operatori possono emettere sequenze di controllo non appropriate che generano errori o causano guasti non indifferenti al sistema. I sistemi di analisi aziendale, poi, possono ricevere dati imprecisi che portano a decisioni gestionali sbagliate”. Si tratta di scenari di attacco molto plausibili: come conferma la raccomandazione congiunta dell’NSA e del CISA, gli attacchi informatici contro i sistemi HMI e dispositivi simili sono uno dei pattern di attacco più comuni per causare intrusioni reali nei sistemi.

Siemens ha già rilasciato aggiornamenti per correggere tutti i problemi, oltre a un avviso di sicurezza ufficiale e alla nota 109813821 di supporto al prodotto che fornisce ulteriori dettagli su come applicare i patch ai dispositivi interessati.

La raccomandazione di Nozomi Networks agli utenti è quella di aggiornare prontamente tutti i dispositivi vulnerabili applicando le patch rilasciate da Siemens. Inoltre, Nozomi Networks ha rilasciato aggiornamenti specifici del servizio Threat Intelligence per rilevare i tentativi di sfruttamento di tali vulnerabilità.

Contenuti correlati

• 
  Nozomi Networks: proteggere l’approvvigionamento idrico dagli attacchi informatici

  Emanuele Temi, Technical Sales Engineer, Nozomi Networks L’approvvigionamento idrico ha un’importanza cruciale e necessita della migliore protezione possibile contro gli attacchi informatici. L’acqua è – senza timore di esagerare – il nostro elisir di lunga vita. Dopo...
• 
  Aumentano gli attacchi alla sicurezza nel settore industriale

  Un recente report di ICS CERT di Kaspersky ha segnalato che, nel 2022, oltre il 40% dei sistemi OT è stato colpito da malware. In particolare, il periodo del 2022 con il più alto tasso di attacchi...
• 
  I consigli di Cisco Talos per gli attacchi informatici

  Cisco Talos ha fornito alcuni suggerimenti per implementare una strategia di difesa attiva, non solo quindi per prevenire un attacco, ma anche per intervenire sfruttando il tempo che serve agli hacker per portare a buon fine un...
• 
  Le cinque funzionalità chiave delle soluzioni ITDR per le aziende

  di Darren Mar-Elia, VP of Products, Semperis La sicurezza incentrata sulle identità sarà sulla bocca di tutti nel 2023. Negli ultimi anni le aziende sono passate a modelli più flessibili per adattarsi alla così detta epoca della...
• 
  Un ebook sulle soluzioni di sicurezza embedded da Arrow Electronics

  Arrow Electronics ha pubblicato un eBook focalizzato sulla sicurezza e destinato agli sviluppatori dei prodotti embedded che cercano di minimizzare la vulnerabilità dei loro prodotti. Arrow ha compilato un elenco dei dieci elementi fondamentali per garantire un...
• 
  Il sistema di sicurezza di VIA Technologies per conducenti di carrelli elevatori

  Accanto ai vantaggi offerti dai carrelli elevatori occorre tenere conto anche dei pericoli che comportano. Le statistiche indicano che i carrelli elevatori sono il secondo macchinario industriale più pericoloso nel Regno Unito dopo le attrezzature agricole, e...
• 
  La sicurezza nel 2023 vista da Juniper Networks

  Juniper Networks ha analizzato i principali trend che caratterizzeranno la cybersecurity nel 2023. Dall’analisi emerge che anche quest’anno la cybersecurity continuerà a essere una priorità. Per quanto la tecnologia possa impattare su questo scenario, i decisori non...
• 
  Gli attacchi alla sicurezza nel 2022 rilevati dai Nozomi Networks Labs

  Un recente report sulla sicurezza OT/IoT di Nozomi Networks Labs  indica che, nel 2022, il panorama dell minacce è stato dominato da malware wiper, ma anche le attività delle botnet IoT e la guerra tra Russia e...
• 
  Nozomi Networks presenta un sensore di sicurezza per endpoint OT e IoT

  Nozomi Networks ha presentato Nozomi Arc, un sensore per la sicurezza degli endpoint OT e IoT. Nozomi Arc è stato progettato per accelerare i tempi di raggiungimento della piena resilienza operativa e per essere distribuito automaticamente su...
• 
  Kaspersky : cambia nel 2023 il panorama delle minacce ai sistemi di controllo industriale

  Le previsioni dei ricercatori del CERT ICS di Kaspersky  per il 2023 e i prossimi anni sugli sviluppi e i rischi dei sistemi di controllo industriale indicano che ci sarà un cambiamento sensibile nel panorama delle minacce....