Alertas

Recomendaciones de seguridad sobre sistemas ICS

Recientemente se han descubierto nuevos fallos de seguridad relacionados con los módulos de comunicación de los componentes Triconex, TriStation y Tricon de Schneider Electric.
28 Jul 2020
5 Minutos de lectura
Dentro del proceso de vigilancia de amenazas que semanalmente se realiza, se ha obtenido un anuncio de la Agencia de Seguridad Nacional de EE.UU (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), quienes han emitido una advertencia/alerta de seguridad a cerca del aprovechamiento de estos fallos de seguridad por parte de varios grupos adversarios quienes tienen como objetivo afectar a infraestructuras críticas, especialmente contra plantas de energía, fábricas, refinerías de petróleo y gas entre otros.

ANÁLISIS

La falla de seguridad del módulo de comunicación de estos controladores del sistema instrumentado de seguridad (SIS) son responsables de cerrar las operaciones de una planta en caso de presentarse un problema y actúan como una defensa de seguridad automatizada para instalaciones industriales, diseñada para evitar fallas en los equipos e incidentes catastróficos como explosiones o incendios. Es importante recordar que la familia de estos componentes ha sido atacado en el pasado, cuya principal afectación fue generada por la amenaza/malware conocida como TRITON en el año 2017.

En los últimos meses, los actores hostiles han mostrado su continua disposición a realizar actividades cibernéticas maliciosas contra infraestructuras críticas mediante la explotación de activos de tecnología operacional (OT) que se encuentran accesibles desde Internet, en el aviso conjunto emitido por ambas agencias NSA/CISA, publicado el día jueves 23 de julio, se hace especial hincapié en el aumento de las capacidades y actividades adversas, la importancia crítica para la seguridad nacional y la afectación directa que puede ocasionar sobre el estilo de vida del personal civil, dichas vulnerabilidades en los sistemas OT, ocasionan que la infraestructura civil se convierte en un objetivo atractivo para las potencias extranjeras que intentan dañar por ejemplo los intereses de una nación como podría ser los EE. UU.

La alerta señala que los sistemas OT a menudo consisten en equipos heredados que nunca fueron diseñados para conectarse a Internet ni para defenderse contra actividades cibernéticas maliciosas. Al mismo tiempo, cada vez más empresas de servicios públicos, instalaciones petroquímicas, fábricas, plantas de energía, etc. buscan aumentar las operaciones de manera remota. Esto implicaría llevar a cabo diversas actividades en la web utilizando una red de TI para conectarse a los entornos OT, lo que permite el monitoreo, la instrumentación, el control, gestión y mantenimiento de activos OT y, en algunos casos, las operaciones de proceso y mantenimiento desde internet. Combinado con información fácilmente disponible que identifica los activos OT conectados a través de Internet con servicios tales como Shodan y Kamerka, se está posibilitando una 'tormenta perfecta' de fácil acceso a activos inseguros, uso de información común de código abierto sobre dispositivos y una amplia lista de exploits desplegables a través de marcos de exploits comunes por ejemplo Metasploit, Core Impact e Immunity Canvas.

El aviso de ambas agencias, NSA / CISA, también detalló que en la naturaleza se han observado varios intentos de ataques cibernéticos. Estos incluyen intentos de implementación de ransomware básico en redes IT y OT, comunicaciones arbitrarias con los controladores, descargas no autorizadas de la lógica de control modificada, utilización de software de ingeniería de proveedores y descargas de programas, modificación de la lógica de control y los parámetros en los controladores lógicos programables (PLC), responsables de leer y manipular directamente los procesos físicos en entornos industriales.

Si se tiene éxito, estos esfuerzos podrían ocasionar que una red OT se caiga, y ocasione a su vez una pérdida parcial de visión para los operadores de la red de control, pérdida de productividad e ingresos o, en el peor de los casos, tomar el control por parte de los actores hostiles y así ocasionar una interrupción directa sobre los procesos físicos.

Esta alerta es particularmente interesante porque parece estar vinculado a campañas en curso dirigidas a sistemas de control industrial, relacionados con el registro de dos incidentes relacionados con pérdida de visión parcial en los Estados Unidos: uno fue un ataque de ransomware en una tubería en el mes de febrero que lo dejó sin conexión durante dos días; y el otro fue un ataque contra una planta de energía eólica y solar en noviembre del año pasado. La pérdida de visión significa que la organización pierde la capacidad de monitorear el estado actual de sus sistemas físicos. Si un atacante quisiera cerrar partes de la red, uno de sus primeros pasos podría ser precisamente este paso de pérdida de visión, porque dejaría a los operadores de servicios públicos "ciegos" a acciones disruptivas posteriores que los atacantes tomarían, como apagar los relés para detener el flujo de electricidad de una planta de generación y distribución.

En correspondencia con la alerta, también se ha emitido un aviso del ICS-CERT sobre los fallos de seguridad críticos nombrados al inicio sobre el dispositivo Triconex SIS de Schneider Electric. Donde la explotación exitosa de estas vulnerabilidades puede permitir a un atacante ver datos sensibles en texto sin cifrar en la red, causar una condición de denegación de servicio y más grave aún permitir un acceso inapropiado sobre la familia de dispositivos afectados.

La divulgación es preocupante, dada la focalización de componentes de la familia Triconex SIS en el pasado. En 2017, una instalación petroquímica de petróleo y gas de Oriente Medio fue golpeada con un malware llamado TRITON (también TRISIS o HatMan), que superó otros ataques cibernéticos industriales porque interactuó directamente y controló el dispositivo Triconex SIS. Debido a que el SIS es la última línea de defensa de seguridad automatizada para instalaciones industriales (es decir, funciones de protección destinadas a salvaguardar vidas humanas) cerrarlo podría facilitar un ataque físico destructivo que no se ve obstaculizado por mecanismos a prueba de fallos.

El nuevo conjunto de vulnerabilidades afecta a TriStation 1131, v1.0.0 a v4.9.0, v4.10.0 y 4.12.0, que funcionan en Windows NT, Windows XP o Windows 7; y los módulos 4351, 4352, 4351A/B y 4352A/B de Tricon Communications Module (TCM) instalados en los sistemas Tricon v10.0 a v10.5.3. Las versiones actuales y más recientes no están expuestas a estas vulnerabilidades específicas, pero muchas instalaciones de ICS aún ejecutan versiones heredadas del pasado. Los aspectos más importantes de estos fallos de seguridad son:

CVE-2020-7483 - Información sensible transmitida en texto claro: Una vulnerabilidad podría hacer que ciertos datos sean visibles en la red cuando la función 'contraseña' esté habilitada. Esta vulnerabilidad fue descubierta y corregida en las versiones v4.9.1 y v4.10.1 el 30 de mayo de 2013. La función 'contraseña' es una comprobación opcional adicional realizada por TS1131 de que está conectada a un controlador específico. Estos datos se envían como texto claro y son visibles en la red. Esta característica no está presente en las versiones de TriStation 1131 v4.9.1 y v4.10.1 hasta la actual.

CVE-2020-7484 - Consumo de recursos incontrolados: Una vulnerabilidad con la antigua función de 'contraseña' podría permitir un ataque de denegación de servicio si el usuario no sigue las pautas documentadas relacionadas con la conexión dedicada de TriStation y la protección del interruptor de llave. Esta vulnerabilidad fue descubierta y corregida en las versiones v4.9.1 y v4.10.1 el 30 de mayo de 2013. Esta característica no está presente en la versión v4.9.1 y v4.10.1 hasta la actual.

CVE-2020-7485 - Funcionalidad Oculta: Una cuenta de soporte heredada en la versión de software TriStation v4.9.0 y anteriores podría causar un acceso inadecuado a la máquina host de TriStation. Esto se abordó en la versión de TriStation v4.9.1 y v4.10.1 lanzada el 30 de mayo de 2013.1

CVE-2020-7486 - Consumo de recursos incontrolados: Una vulnerabilidad podría provocar que los módulos TCM se restablezcan cuando se encuentre bajo una carga de red alta en TCM v10.4.xy en el sistema v10.3.x. Esta vulnerabilidad se descubrió y se corrigió en la versión v10.5.x el 13 de agosto de 2009

CVE-2020-7491 – Control Indebido de acceso: Una cuenta en el puerto de depuración heredada en TCM instalados en las versiones del sistema Tricon 10.2.0 a 10.5.3 es visible en la red y podría permitir un acceso inapropiado. Esta vulnerabilidad se corrigió en TCM versión 10.5.4

Otro de los aspectos de mayor relevancia dentro de la alerta, tiene que ver con la observación de las Tácticas, Técnicas y Procedimientos que recientemente se han observado en campañas de ataque en contra de los Sistemas de Control Industrial:
Táctica
Técnica
Descripción
Acceso inicial
Spear phishing [T1192]
  • Obtener acceso inicial a la red de tecnología de la información (TI) de la organización antes de pasar a la red OT
Impacto
Cifrado de datos [T1486]
  • Implementación de ransomware para cifrar datos para impactar tanto la red corporativa IT como la red OT
Acceso inicial
Dispositivos de accesibilidad a la red [T883]
  • Conexión a PLC accesibles a Internet que no requieren autenticación para el acceso inicial.
Comando & Control
Uso de puertos [T885]
Protocolos de la capa de aplicación estándar  [T869]
  • Utilizando puertos de uso común y protocolos de capa de aplicación estándar, para comunicarse con los controladores y descargar la lógica de control modificada.
Persistencia
Descargas de programas [T843]
  • Uso de software de ingeniería de proveedores y descargas de programas
Inhibición de la función de respuesta
Modificación de la lógica de control [T833]
  • Modificación de la lógica de control en los PLC.
Afectación en el proceso de control
Modificación de parámetros [T836]
  • Modificación de parámetros en los PLC.
Impacto
Pérdida de disponibilidad [T826]
  • Pérdida de disponibilidad en la red de control OT
Impacto
Pérdida parcial de visibilidad [T829]
  • Pérdida parcial de la vista para los operadores de la red de control
Impacto
Pérdida de productividad e ingresos [T828]
  • Pérdida de productividad e ingresos sobre el proceso industrial
Impacto
Alteración del control [T831]
  • Manipulación adversa del control para producir una interrupción de los procesos físicos


REFERENCIAS
[1] https://media.defense.gov/2020/Jul/23/2002462846/-1/-1/1/OT_ADVISORY-DUAL-OFFICIAL-20200722.PDF
[2] https://us-cert.cisa.gov/ncas/alerts/aa20-205a
[3] https://us-cert.cisa.gov/ics/advisories/icsa-20-205-01
 
61 visitas