A Kaspersky ICS CERT investigou o Unified Messaging Application Services (UMAS) da Schneider Electric e as vulnerabilidades deste protocolo altamente popular, utilizado em múltiplas indústrias – desde o fabrico até aos sistemas de controlo de elevadores. Explorando as vulnerabilidades descritas, os atacantes poderiam obter acesso a todo o sistema de automação de uma entidade.
O UMAS (Unified Messaging Application Services) é o protocolo proprietário da Schneider Electric utilizado para configurar, monitorizar, recolher dados e controlar os controladores industriais da Schneider Electric. O uso do protocolo é muito difundido entre diferentes indústrias. As questões descritas pelos peritos Kaspersky ICS CERT referem-se ao acesso não autorizado ao controlador lógico programável (PLC) e às formas que os cibercriminosos tomam para contornar a autenticação.
Em 2020, foi relatada a vulnerabilidade, CVE-2020-28212, que poderia ser explorada por um atacante remoto não autorizado para obter o controlo de um controlador lógico programável (PLC) com os privilégios de um operador já autenticado no controlador. Para resolver a vulnerabilidade, a Schneider Electric desenvolveu um novo mecanismo, Senha de Aplicação, que deverá fornecer proteção contra acesso não autorizado a PLCs e modificações indesejadas.
Uma análise conduzida por peritos Kaspersky ICS CERT mostrou que a implementação do novo mecanismo de segurança também tem falhas. A vulnerabilidade CVE-2021-22779, identificada no decurso da investigação, poderia permitir que um atacante remoto fizesse alterações ao PLC, contornando a autenticação.
Como os investigadores averiguaram, o principal problema era que os dados de autenticação utilizados para “reservar” o dispositivo para modificação eram calculados inteiramente do lado do cliente, e o “segredo” utilizado podia ser obtido do PLC sem autenticação.
Para ajudar os clientes a mitigar as questões acima mencionadas, a Schneider Electric publicou um parecer com recomendações de segurança. A Kaspersky ICS CERT, por sua vez, recomenda a utilização adicional de monitorização de redes e de soluções de análise profunda de protocolos industriais, tais como Kaspersky Industrial CyberSecurity for Networks, para monitorizar e controlar as tentativas de acesso remoto a dispositivos PLC.
“O panorama de ameaças está em constante evolução, e a estratégia de segurança de uma organização deve também evoluir constantemente para enfrentar novos desafios. Atualmente, a construção de um sistema de segurança cibernética não é um estado final, mas um processo proativo contínuo – o que é provado pelo exemplo do protocolo UMAS. Estamos gratos por a Schneider Electric ter conseguido responder rapidamente às vulnerabilidades descobertas e fornecer aos seus clientes a solução e recomendações adequadas. Contudo, o nosso conselho a todos os responsáveis pela segurança dentro de uma empresa é implementar soluções especiais”.
Pavel Nesterov, security expert na ICS CERT Kaspersky.
Para manter os seus computadores ICS protegidos contra várias ameaças, os peritos Kaspersky recomendam:
- Atualizar regularmente sistemas operativos e software de aplicação que fazem parte da rede da empresa. Aplicar correções e patches de segurança ao equipamento informático e de rede OT logo que estes estejam disponíveis.
- Realizar auditorias regulares de segurança dos sistemas informáticos e OT para identificar e eliminar possíveis vulnerabilidades
- Utilizar o produto de monitorização, análise e deteção de tráfego de rede ICS Kaspersky Industrial CyberSecurity for Networks para uma melhor proteção contra ataques que potencialmente ameacem os processos tecnológicos e os principais ativos empresariais. O módulo especial de Controlo de Comando deteta a exploração de vulnerabilidades no protocolo UMAS, quando um atacante tenta executar o comando “Controlador de reserva”. Outro módulo Controlo de Integridade de Rede regista ligações não autorizadas à rede. Todos os eventos são combinados num incidente e enviados para o administrador para investigação adicional.
- Pôr em prática uma formação dedicada à segurança para equipas de segurança informática e engenheiros OT, para melhorar a resposta a novas e avançadas técnicas maliciosas
- Fornecer à equipa de segurança responsável, pela proteção dos sistemas de controlo industrial, informações atualizadas sobre ameaças. O novo serviço ICS Threat Intelligence Reporting fornece informações sobre ameaças e vetores de ataque atuais, bem como os elementos mais vulneráveis nos OT e sistemas de controlo industrial e como mitigá-los.
Segue toda a atualidade tecnológica no TecheNet através do Telegram. Todas as novidades em tempo real e sem atrasos!
Outros artigos interessantes:
