Rockwell consiglia di disconnettere i dispositivi ICS connessi a Internet in caso di minacce informatiche

22 maggio 2024EditorialeSicurezza/Vulnerabilità ICS

Rockwell Automation chiede ai propri clienti di disconnettere tutti i sistemi di controllo industriale (ICS) che non sono destinati a connettersi alla rete Internet pubblica per mitigare le attività informatiche non autorizzate o dannose.

La società ha affermato che sta emettendo l’avviso a causa delle “intensificate tensioni geopolitiche e dell’attività informatica contraddittoria a livello globale”.

A tal fine, i clienti sono invitati ad agire immediatamente per determinare se dispongono di dispositivi accessibili tramite Internet e, in tal caso, per disconnettere quelli che non devono essere esposti.

"Gli utenti non dovrebbero mai configurare le proprie risorse per connettersi direttamente alla rete Internet pubblica", ha aggiunto Rockwell Automation.

“La rimozione di questo collegamento come passo proattivo riduce la superficie di attacco e può ridurre immediatamente l’esposizione ad attività informatiche non autorizzate e dannose da parte di attori di minacce esterne”.

Inoltre, le organizzazioni sono tenute a garantire di aver adottato le mitigazioni e le patch necessarie per proteggersi dai seguenti difetti che interessano i loro prodotti:

L’allarme è stato condiviso anche dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, che raccomanda anche agli utenti e agli amministratori di seguire le misure appropriate delineate nella guida per ridurre l’esposizione.

Un malware PLC basato sul web

Ciò include un avviso del 2020 emesso congiuntamente dalla CISA e dalla National Security Agency (NSA) che avverte di soggetti malintenzionati che sfruttano risorse tecnologiche operative (OT) accessibili da Internet per condurre attività informatiche che potrebbero rappresentare gravi minacce per le infrastrutture critiche.

“Gli attori informatici, compresi i gruppi avanzati di minacce persistenti (APT), hanno preso di mira i sistemi OT/ICS negli ultimi anni per ottenere guadagni politici, vantaggi economici e possibilmente ottenere effetti distruttivi”, ha osservato la NSA nel settembre 2022.

Sono stati osservati anche degli avversari che si collegavano a controllori logici programmabili (PLC) esposti pubblicamente e modificavano la logica di controllo per provocare comportamenti indesiderati.

Infatti, una recente ricerca presentata da un gruppo di accademici del Georgia Institute of Technology al simposio NDSS del marzo 2024 ha scoperto che è possibile effettuare un attacco in stile Stuxnet compromettendo l'applicazione web (o le interfacce uomo-macchina) di ospitati da server web incorporati nei PLC.

Ciò comporta lo sfruttamento dell'interfaccia basata sul web del PLC, utilizzata per il monitoraggio, la programmazione e la configurazione remota, al fine di ottenere l'accesso iniziale e quindi sfruttare le legittime interfacce di programmazione delle applicazioni (API) per sabotare i macchinari di base del mondo reale.

"Tali attacchi includono la falsificazione delle letture dei sensori, la disattivazione degli allarmi di sicurezza e la manipolazione di trigger fisici", hanno affermato i ricercatori. “L’emergere della tecnologia Internet negli ambienti di controllo industriale ha portato nuovi problemi di sicurezza non presenti nel dominio dell’IT o dei dispositivi IoT di consumo”.

Il nuovo malware PLC basato sul web presenta vantaggi significativi rispetto alle tecniche malware PLC esistenti, come l’indipendenza dalla piattaforma, la facilità di implementazione e livelli più elevati di persistenza, consentendo a un utente malintenzionato di eseguire furtivamente azioni dannose senza dover impostare la logica di controllo del malware.

Per proteggere le reti OT e ICS, è consigliabile limitare l'esposizione delle informazioni di sistema, controllare e proteggere i punti di accesso remoti, limitare l'accesso alla rete e controllare gli strumenti applicativi e gli script del sistema per utenti legittimi, eseguire revisioni periodiche della sicurezza e implementare un ambiente di rete dinamico.