Rockwell menyarankan untuk memutuskan sambungan perangkat ICS yang terhubung ke Internet di tengah ancaman dunia maya

22 Mei 2024Tajuk rencanaKeamanan / Kerentanan ICS

Rockwell Automation meminta pelanggannya untuk memutuskan semua sistem kontrol industri (ICS) yang tidak dimaksudkan untuk terhubung ke Internet publik untuk mengurangi aktivitas dunia maya yang tidak sah atau berbahaya.

Perusahaan tersebut mengatakan bahwa mereka mengeluarkan peringatan tersebut karena “meningkatnya ketegangan geopolitik dan aktivitas dunia maya yang bermusuhan secara global.”

Untuk itu, pelanggan diminta untuk mengambil tindakan segera untuk menentukan apakah mereka memiliki perangkat yang dapat diakses melalui Internet dan, jika demikian, memutuskan sambungan perangkat yang tidak dimaksudkan untuk diekspos.

“Pengguna tidak boleh mengonfigurasi aset mereka untuk terhubung langsung ke Internet publik,” tambah Rockwell Automation.

“Menghapus tautan ini sebagai langkah proaktif akan mengurangi permukaan serangan dan dapat segera mengurangi paparan terhadap aktivitas siber yang tidak sah dan berbahaya dari pelaku ancaman eksternal.”

Selain itu, organisasi diharuskan untuk memastikan bahwa mereka telah mengadopsi mitigasi dan patch yang diperlukan untuk mengamankan kelemahan berikut yang mempengaruhi produk mereka –

Peringatan ini juga telah disampaikan oleh Badan Keamanan Siber dan Infrastruktur AS (CISA), yang juga merekomendasikan agar pengguna dan administrator mengikuti langkah-langkah tepat yang diuraikan dalam panduan untuk mengurangi paparan.

Malware PLC berbasis web

Hal ini termasuk peringatan tahun 2020 yang dikeluarkan bersama oleh CISA dan Badan Keamanan Nasional (NSA) yang memperingatkan adanya pelaku jahat yang mengeksploitasi aset teknologi operasional (OT) yang dapat diakses Internet untuk melakukan aktivitas dunia maya yang dapat menimbulkan ancaman serius terhadap infrastruktur penting.

“Para pelaku dunia maya, termasuk kelompok ancaman persisten tingkat lanjut (APT), telah menargetkan sistem OT/ICS dalam beberapa tahun terakhir untuk mencapai keuntungan politik, keuntungan ekonomi, dan kemungkinan menimbulkan dampak yang merusak,” kata NSA pada September 2022.

Musuh juga terlihat terhubung ke pengontrol logika terprogram (PLC) yang terekspos secara publik dan memodifikasi logika kontrol sehingga menyebabkan perilaku yang tidak diinginkan.

Faktanya, penelitian terbaru yang dipresentasikan oleh sekelompok akademisi dari Institut Teknologi Georgia di Simposium NDSS pada bulan Maret 2024 menemukan bahwa serangan bergaya Stuxnet dapat dilakukan dengan menyusupi aplikasi web (atau antarmuka manusia-mesin) dihosting oleh server web yang tertanam dalam PLC.

Hal ini melibatkan eksploitasi antarmuka berbasis web PLC, yang digunakan untuk pemantauan jarak jauh, pemrograman dan konfigurasi, untuk mendapatkan akses awal dan kemudian memanfaatkan antarmuka pemrograman aplikasi (API) yang sah untuk menyabot mesin dasar dunia nyata.

“Serangan tersebut termasuk memalsukan pembacaan sensor, menonaktifkan alarm keamanan, dan memanipulasi pemicu fisik,” kata para peneliti. “Munculnya teknologi Internet di lingkungan kendali industri telah membawa permasalahan keamanan baru yang tidak terdapat pada domain TI atau perangkat IoT konsumen.”

Malware PLC berbasis web yang baru memiliki keunggulan signifikan dibandingkan teknik malware PLC yang ada, seperti independensi platform, kemudahan penerapan, dan tingkat persistensi yang lebih tinggi, memungkinkan penyerang melakukan tindakan berbahaya secara diam-diam tanpa harus mengatur logika kontrol malware.

Untuk mengamankan jaringan OT dan ICS, disarankan untuk membatasi paparan informasi sistem, mengontrol dan mengamankan titik akses jarak jauh, membatasi akses jaringan dan mengontrol alat dan skrip aplikasi sistem untuk pengguna yang sah, melakukan tinjauan keamanan secara berkala dan menerapkan lingkungan jaringan yang dinamis.