I ricercatori del Kaspersky ICS CERT hanno svelato e rese note le vulnerabilità di un popolare framework utilizzato per lo sviluppo di diversi dispositivi industriali. Questi dispositivi – ad esempio i controllori logici programmabili (PLC) e le interfaccia uomo-macchina (HMI) – sono il cuore di quasi tutti gli impianti industriali automatizzati, dalle infrastrutture critiche ai processi di produzione. Le vulnerabilità scoperte da Kaspersky ICS CERT avrebbero potuto consentire a un potenziale attaccante di portare avanti cyberattacchi distruttivi e ben celati, da remoto o locali, nei confronti dell’organizzazione nella quale vengono utilizzati i PLC sviluppati proprio attraverso il framework vulnerabile.
Il framework in questione è stato sviluppato da Codesys e le vulnerabilità sono state risolte dal vendor proprio dopo la segnalazione fatta da Kaspersky. I PLC (Programmable Logic Controllers) sono dispositivi che rendono automatici processi che prima dovevano essere eseguiti manualmente o con l’ausilio di dispositivi elettromeccanici complessi. Per un corretto funzionamento, devono essere programmati. Tale programmazione viene eseguita tramite uno speciale “framework software” che aiuta gli ingegneri a codificare e caricare le istruzioni del programma di automazione di processo nel PLC.
I ricercatori di Kaspersky hanno scoperto che questo software potrebbe presentare delle vulnerabilità e quindi essere a rischio di attacco e hanno studiato un tool sofisticato e potente, progettato proprio per lo sviluppo e il controllo dei programmi PLC. A seconda del tipo di vulnerabilità sfruttato, un aggressore avrebbe potuto intercettare e falsificare comandi di rete e dati telemetrici, rubare e riutilizzare le password e altre informazioni utili ai processi di autenticazione, iniettare codici dannosi nel runtime o aumentare i privilegi dell’attaccante all’interno del sistema, così come permettere altre azioni non autorizzate – il tutto nascondendo efficacemente la propria presenza all’interno della rete attaccata. I cybercriminali avrebbero potuto compromettere la funzionalità dei PLC di una particolare struttura o ottenerne il pieno controllo, senza destare l’attenzione del personale addetto all’Operation Technology (OT) della struttura attaccata.
Alexander Nochvay, Security Researcher del Kaspersky ICS CERT Le vulnerabilità che abbiamo scoperto stavano fornendo agli attaccanti una superficie di attacco estremamente ampia, ideale per azioni potenzialmente dannose; considerata la larga diffusione del software in questione, siamo grati al vendor per la pronta risposta e per la capacità di risolvere rapidamente i problemi riscontrati. Sarebbe bello pensare che, grazie alla nostra ricerca, siamo stati in grado di rendere il lavoro degli attaccanti molto più difficile. Molte di queste vulnerabilità, in realtà, sarebbero state scoperte tempo prima, se la community della sicurezza informatica fosse stata coinvolta nello sviluppo del protocollo di comunicazione di rete fin dalle fasi iniziali. Riteniamo che la collaborazione con l’intero settore della cybersecurity dovrebbe diventare una “best practice” per gli sviluppatori di importanti componenti dedicati ai sistemi industriali, che si tratti di hardware o di software. Soprattutto se si considera che la cosiddetta industria 4.0, che si basa in gran parte sulle moderne tecnologie automatizzate, è ormai una realtà.
Per affrontare i potenziali rischi correlati a uno sfruttamento di questo tipo di vulnerabilità, gli specialisti Kaspersky consigliano:
-gli sviluppatori che utilizzano il framework sono invitati a richiedere l’update e aggiornare il firmware per i dispositivi programmati con l’aiuto di questo framework;
-gli ingegneri industriali dovrebbero prestare attenzione all’eventuale aggiornamento del firmware dei loro dispositivi, facendo attenzione alle procedure di gestione delle patch aziendali, nel caso in cui un dispositivo sia stato programmato con l’aiuto del framework o nel caso in cui lo sviluppatore abbia rilasciato aggiornamenti rilevanti per i suoi prodotti\,
-i dispositivi impiegati all’interno di ambienti di sviluppo e/o SCADA dovrebbero essere dotati di una soluzione di protezione adeguata;
-i dispositivi utilizzati in ambienti industriali dovrebbero funzionare su una rete isolata e regolamentata.
