Рокуел съветва да изключите свързаните с интернет ICS устройства на фона на кибер заплахи

22 май 2024 гРедакцияСигурност/уязвимост на ICS

Rockwell Automation моли клиентите си да изключат всички индустриални системи за контрол (ICS), които не са предназначени да се свързват с публичния интернет, за да смекчат неразрешената или злонамерена кибернетична дейност.

Компанията заяви, че издава препоръката поради „повишено геополитическо напрежение и противникова киберактивност в световен мащаб“.

За тази цел клиентите са помолени да предприемат незабавни действия, за да определят дали имат устройства, които са достъпни през интернет, и ако е така, да изключат тези, които не са предназначени да бъдат изложени.

„Потребителите никога не трябва да конфигурират своите активи, за да се свързват директно към обществения интернет“, добави Rockwell Automation.

„Премахването на тази връзка като проактивна стъпка намалява повърхността на атаката и може незабавно да намали излагането на неоторизирана и злонамерена кибернетична дейност от външни заплахи.”

Освен това от организациите се изисква да гарантират, че са приели необходимите смекчаващи мерки и корекции, за да се предпазят от следните недостатъци, засягащи техните продукти –

Сигналът беше споделен и от Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA), която също препоръчва на потребителите и администраторите да следват подходящите мерки, описани в ръководството, за да намалят излагането.

Уеб-базиран PLC зловреден софтуер

Това включва предупреждение от 2020 г., издадено съвместно от CISA и Агенцията за национална сигурност (NSA), предупреждаващо за злонамерени участници, които експлоатират активи на достъпни в интернет операционни технологии (OT), за да извършват кибернетична дейност, която може да представлява сериозна заплаха за критичната инфраструктура.

„Кибер участниците, включително усъвършенствани групи за постоянна заплаха (APT), са се насочили към OT/ICS системи през последните години, за да постигнат политическа печалба, икономическо предимство и евентуално да изпълнят разрушителни ефекти“, отбеляза NSA през септември 2022 г.

Противниците също са наблюдавани да се свързват с публично изложени програмируеми логически контролери (PLC) и да променят контролната логика, за да причинят нежелано поведение.

Всъщност скорошно изследване, представено от група учени от Технологичния институт на Джорджия на симпозиума на NDSS през март 2024 г., установи, че е възможно да се извърши атака в стил Stuxnet чрез компрометиране на уеб приложението (или интерфейсите човек-машина) от хоствани от уеб сървъри, вградени в PLC.

Това включва използване на уеб базирания интерфейс на PLC, използван за дистанционно наблюдение, програмиране и конфигуриране, за да получите първоначален достъп и след това да се възползвате от легитимните интерфейси за програмиране на приложения (API), за да саботирате основните машини на реалния свят.

„Такива атаки включват фалшифициране на показанията на сензори, деактивиране на аларми за сигурност и манипулиране на физически задействания“, казаха изследователите. „Появата на интернет технологията в среди за индустриален контрол доведе до нови опасения за сигурността, които не присъстват в областта на ИТ или потребителските IoT устройства.“

Новият уеб-базиран злонамерен софтуер за PLC има значителни предимства пред съществуващите техники за злонамерен софтуер за PLC, като независимост от платформата, лекота на внедряване и по-високи нива на постоянство, което позволява на атакуващия да извършва скрито злонамерени действия, без да се налага да задава контролна логика на злонамерен софтуер.

За да защитите OT и ICS мрежите, препоръчително е да ограничите излагането на системна информация, да контролирате и защитите отдалечени точки за достъп, да ограничите достъпа до мрежата и да контролирате инструментите и скриптовете на системните приложения за законни потребители, да извършвате периодични прегледи на сигурността и да прилагате динамична мрежова среда.