Rockwell savjetuje isključivanje ICS uređaja okrenutih prema internetu usred cyber prijetnji

22. svibnja 2024UredništvoICS Sigurnost / Ranjivost

Rockwell Automation traži od svojih korisnika da isključe sve industrijske upravljačke sustave (ICS) koji nisu namijenjeni povezivanju s javnim internetom kako bi ublažili neovlaštene ili zlonamjerne cyber aktivnosti.

Tvrtka je rekla da izdaje upozorenje zbog "pojačanih geopolitičkih napetosti i neprijateljske cyber aktivnosti na globalnoj razini".

U tu svrhu, korisnici se mole da poduzmu hitne radnje kako bi utvrdili imaju li uređaje kojima se može pristupiti putem interneta i, ako jesu, da isključe one koji nisu namijenjeni da budu izloženi.

"Korisnici nikada ne bi trebali konfigurirati svoja sredstva za izravno povezivanje s javnim internetom", dodao je Rockwell Automation.

"Uklanjanje ove veze kao proaktivnog koraka smanjuje površinu napada i može odmah smanjiti izloženost neovlaštenim i zlonamjernim cyber aktivnostima vanjskih aktera prijetnji."

Osim toga, organizacije su dužne osigurati da su usvojile potrebne mjere ublažavanja i zakrpe kako bi se zaštitile od sljedećih nedostataka koji utječu na njihove proizvode –

Upozorenje je također podijelila američka Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA), koja također preporučuje da korisnici i administratori slijede odgovarajuće mjere navedene u smjernicama za smanjenje izloženosti.

PLC zlonamjerni softver temeljen na webu

To uključuje upozorenje iz 2020. koje su zajednički izdali CISA i Agencija za nacionalnu sigurnost (NSA) o zlonamjernim akterima koji iskorištavaju operativnu tehnologiju (OT) dostupnu Internetu za provođenje cyber aktivnosti koje bi mogle predstavljati ozbiljne prijetnje kritičnoj infrastrukturi.

"Cyber ​​​​akteri, uključujući napredne trajne prijetnje skupine (APT-ovi), ciljali su OT/ICS sustave posljednjih godina kako bi postigli političku korist, ekonomsku prednost i moguće izvršili destruktivne učinke", primijetila je NSA u rujnu 2022.

Protivnici su također primijećeni kako se spajaju na javno izložene programabilne logičke kontrolere (PLC) i mijenjaju upravljačku logiku kako bi izazvali neželjeno ponašanje.

Zapravo, nedavno istraživanje koje je predstavila skupina akademika s Georgia Institute of Technology na NDSS simpoziju u ožujku 2024. pokazalo je da je moguće izvršiti napad u stilu Stuxneta kompromitiranjem web aplikacije (ili sučelja čovjek-stroj) hostiranih na web poslužiteljima ugrađenim u PLC-ove.

To uključuje iskorištavanje web-baziranog sučelja PLC-a, koje se koristi za daljinski nadzor, programiranje i konfiguraciju, kako bi se dobio početni pristup, a zatim iskoristila legitimna sučelja za programiranje aplikacija (API) za sabotiranje osnovnih strojeva stvarnog svijeta.

"Takvi napadi uključuju krivotvorenje očitanja senzora, onemogućavanje sigurnosnih alarma i manipuliranje fizičkim okidačima", rekli su istraživači. "Pojava internetske tehnologije u industrijskim kontrolnim okruženjima donijela je nove sigurnosne probleme koji nisu prisutni u domeni IT-a ili potrošačkih IoT uređaja."

Novi zlonamjerni softver za PLC baziran na webu ima značajne prednosti u odnosu na postojeće tehnike zlonamjernog softvera za PLC, kao što su neovisnost o platformi, jednostavnost implementacije i više razine postojanosti, dopuštajući napadaču da potajno izvede zlonamjerne radnje bez potrebe za postavljanjem zlonamjerne logike kontrole.

Kako bi se osigurale OT i ICS mreže, preporučljivo je ograničiti izloženost informacija o sustavu, kontrolirati i osigurati udaljene pristupne točke, ograničiti pristup mreži i kontrolirati aplikacijske alate i skripte sustava za legitimne korisnike, provoditi periodične sigurnosne preglede i implementirati dinamičko mrežno okruženje.