samedi, 26 novembre 2022

« Evil PLC Attack » arme les API pour infecter les postes de travail d’ingénierie

Crédit : Dreamstime

La plupart des circonstances d’attaque contre des installations industrielles, que ce soit dans la fabrication ou dans des installations, se concentrent sur la mise en péril des contrôleurs logiques programmables (PLC) pour endommager les procédures physiques qu’ils gèrent et automatisent.

Une méthode pour faire fonctionner du code destructeur sur les automates est de tout d’abord compromettre un poste de travail que les ingénieurs utilisent pour gérer et déployer des programmes dessus, mais cela peut être une voie à double sens : un automate piraté peut également être utilisé pour compromettre les postes de travail d’ingénierie, ce qui ouvre la porte à de puissantes attaques de mouvement latéral.

Dans un tout nouvel article publié ce week-end, des chercheurs de la société de cybersécurité des systèmes de contrôle industriel (ICS) Claroty ont documenté la preuve de -concept « Evil PLC Attacks » contre l’application logicielle d’ingénierie de sept fabricants ICS : Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO et Emerson.

 » L’attaque vise les ingénieurs travaillant quotidiennement sur des réseaux industriels, installant et réparant des automates programmables pour assurer la sécurité et la fiabilité des procédures sur des marchés importants tels que les énergies, l’électricité, l’eau et les eaux usées, les charges lourdes l’industrie, la fabrication et les véhicules, pour n’en nommer que quelques-uns,  » ont déclaré les chercheurs.

Du bytecode destructeur aux métadonnées malveillantes

Un API est essentiellement un système informatique enraciné qui contrôle un équipement, un processus physique ou un ligne d’assemblage. Il possède son propre processeur et exécute un système d’exploitation en temps réel (RTOS) avec des modifications de fournisseur et un interpréteur de bytecode.

Les ingénieurs surveillent et programment les API à partir d’ordinateurs qui leur sont connectés à l’aide d’un logiciel d’ingénierie spécialisé qui peut être utilisé pour écrire le code de raisonnement, l’assembler dans un format que l’interpréteur API comprend et le publier.

En plus du bytecode assemblé, également appelé logique à relais, les automates enregistrent une copie complète de la tâche établie, composée de métadonnées telles que les noms de programme et les symboles, la configuration déclarent le matériel et le réseau, les mappages de mémoire, I les paramètres /O, les déclarations de variables, les spécifications et le code source que les ingénieurs ont développé.

L’API n’a techniquement pas besoin de tous ces détails supplémentaires pour fonctionner, mais ils y sont conservés afin que tout autre ingénieur se connectant à l’API puisse obtenir une copie complète du projet travaillant dessus afin de pouvoir déboguer les modifier ou les modifier.

Cela indique que le logiciel d’ingénierie non seulement envoie des données aux automates, mais lit également une grande quantité de données et les analyse. Historiquement, l’analyse des informations dans divers formats a été la source de nombreuses vulnérabilités de la mémoire et ce cas ne fait pas exception.

En vérité, les scientifiques affirment que ce logiciel exclusif n’a pas été conçu dans l’optique d’une fiabilité totale des automates programmables auxquels ils sont liés et de leurs informations enregistrées. Ils manquent donc d’une grande partie de la sécurité pour l’analyse des données. qu’aurait une application de bureau contemporaine.

Cela ne signifie pas que la recherche de vulnérabilités est simple, car chaque fournisseur utilise son propre protocole de communication exclusif pour écrire et extraire les informations de leurs automates et les fichiers de travail sont stockés à l’aide de divers formats d’emballage, dont certains sont également propriétaires.

Les chercheurs devaient rétroconcevoir ces procédures et ces formats de fichiers pour chacune des applications logicielles d’ingénierie évaluées afin de comprendre quoi et comment un adversaire pourrait le modifier sur l’automate pour attaquer le poste de travail de liaison.

p>

Cela a entraîné la découverte et le signalement de vulnérabilités dans :

  • TwinSoft, le logiciel d’ingénierie utilisé pour la plate-forme TBOX d’OVARRO
  • Automation Studio utilisé pour B&R (ABB) Système X20
  • EcoStruxure Control Expert (Unity Pro) utilisé pour les automates Modicon de Schneider Electric
  • ToolBoxST utilisé par la plate-forme MarkVIe de GE
  • Connected Components Workbench (CCW) utilisé par Micro Control Systems PLC de Rockwell Automation
  • PAC Device Edition utilisé par PACsystems d’Emerson
  • L’outil de programme XD PLC utilisé par XDPPro de Xinje

Les défauts variaient des traversées de cours aux débordements de charge et aux désérialisations risquées, le tout entraînant l’exécution de code arbitraire sur l’ingénierie d evice.

« Pour chaque cible/plate-forme, nous avons tenté de comprendre l’ensemble du système de téléchargement/téléchargement en procédant à l’ingénierie inverse du micrologiciel et de l’application logicielle du poste de travail d’ingénierie », ont déclaré les chercheurs dans leur article.

 » Notre objectif était de découvrir des incohérences entre ce que l’API utilise et ce que le poste de travail d’ingénierie utilise. Si nous devions découvrir de telles incohérences, nous pourrions militariser l’API via une procédure de téléchargement destructrice pour conserver un système particulièrement conçu. information qui n’aura pas d’impact sur l’automate, mais qui, une fois analysée par la plate-forme d’ingénierie, déclenchera et exploitera une vulnérabilité. « 

Le mouvement latéral est la plus grande menace

L’objectif le plus apparent d’une telle attaque est le mouvement latéral à l’intérieur du réseau OT (innovation fonctionnelle) d’une organisation pour atteindre la détermination Les opposants pourraient mettre en péril un poste de travail d’ingénierie qui n’a en fait pas été isolé du réseau informatique de base de l’organisation ou pourraient même utiliser un initié pour y implanter des logiciels malveillants.

Le ver Stuxnet qui a été utilisé pour détruire les centrifugeuses d’enrichissement d’uranium à l’intérieur On pense que la centrale nucléaire iranienne de Natanz a été déployée par un initié qui travaillait comme mécanicien pour une société tierce effectuant des travaux dans la centrale.Lorsqu’il a été déployé sur un appareil à l’intérieur, le ver a trouvé sa voie vers les automates gérant les centrifugeuses à l’aide une chaîne d’exploits zero-day et de méthodes avancées.

Tous les ennemis ne disposent peut-être pas d’exploits Windows zero-day pour créer des logiciels malveillants furtifs et sophistiqués comme Stuxnet, ils peuvent donc avoir besoin d’un autre moyen de se propager sur le réseau sur ce qu’ils parviennent à infecter un seul poste de travail ou à empoisonner les fichiers de tâches d’un automate est un moyen d’y parvenir.

Les automates peuvent également être mis en danger depuis un autre emplacement car nombre d’entre eux sont reliés au Web par de nombreux interfaces de gestion à distance. Selon les scans sur Shodan, il y a des dizaines de milliers de gadgets SCADA et PLC connectés au Web.

En avril 2020, des attaquants ont réussi à accéder depuis un autre endroit aux systèmes utilisés pour gérer le traitement de l’eau en Israël. En 2021, une attaque similaire a touché l’installation de traitement de l’eau d’Oldsmar en Floride.

« Notre étude suggère que les agresseurs pourraient utiliser les automates connectés à Internet comme point de pivot pour infiltrer l’ensemble du réseau OT », ont déclaré les chercheurs de Claroty. déclaré.

« Plutôt que de se contenter de se relier aux automates exposés et d’en modifier le raisonnement, les assaillants pourraient équiper ces automates et déclencher intentionnellement une panne qui attirera un ingénieur vers eux. L’ingénieur, en tant que technique de diagnostic, effectuera une procédure de téléchargement qui compromettra leur appareil. Les agresseurs ont maintenant leur emprise sur le réseau OT. « 

Le mouvement latéral par une attaque Evil PLC peut même se produire dans toutes les organisations car de nombreuses entreprises comptent sur des tiers- des intégrateurs de systèmes tiers ou des sous-traitants pour gérer leurs automates, en particulier ceux sortis dans des endroits éloignés.

Si des ennemis compromettent un tel automate dans une zone moins sûre et sécurisée et comprennent qu’il est entretenu par un intégrateur de systèmes ou un professionnel, ils pourraient déclencher un défaut dans l’automate pour y attirer l’ingénieur itinérant, puis mettre en péril leur ordinateur. Cet ingénieur est susceptible de se connecter ensuite aux réseaux OT d’autres organisations et de diffuser la charge utile malveillante.

D’un autre côté, le même vecteur d’attaque pourrait être retourné contre des attaquants potentiels dans une situation semblable à un pot de miel où des scientifiques ou des organisations pourraient délibérément laisser un API armé exposé au Web et voir si des attaquants le ciblent. Étant donné que les attaquants doivent utiliser le même logiciel d’ingénierie pour se connecter à l’automate, leurs propres machines pourraient être exposées.

 » Cette technique peut être utilisée pour trouver des attaques dans la première phase de l’énumération et pourrait également dissuader les opposants de ciblant les API connectés à Internet en considérant qu’ils devront se protéger contre la cible qu’ils ont prévu d’attaquer », ont déclaré les scientifiques de Claroty.

Atténuation des attaques malveillantes des API

Toutes les vulnérabilités découvertes par les chercheurs de Claroty ont en fait été signalées aux fabricants concernés, qui ont publié des correctifs ou des instructions d’atténuation. La publication de correctifs à l’intérieur des réseaux OT peut être une procédure lente. Les chercheurs suggèrent que les organisations publient des mécanismes d’authentification client lorsqu’ils sont disponibles, afin que le PLC valide l’identité de chaque poste de travail d’ingénierie qui y est lié et puisse accepter les connexions de systèmes spécifiques uniquement.

Division et santé du réseau où divers secteurs de le réseau qui n’a pas besoin de se parler est séparé est également très important. Rendre possible le chiffrement des fichiers de trafic et l’authentification par clé publique entre les automates et les postes de travail d’ingénierie, le cas échéant, est également une bonne pratique, ainsi qu’un suivi de base du trafic réseau pour les connexions suspectes.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici