Sistemi industriali a rischio: falle vecchie di 20 anni in uno stack TCP/IP largamente usato

Sistemi industriali a rischio: falle vecchie di 20 anni in uno stack TCP/IP largamente usato

Per le falle sono già disponibili patch correttive, da installare tempestivamente: il blocco imprevisto di sistemi industriali può causare danni imprevedibili

di pubblicata il , alle 18:31 nel canale Sicurezza
 

Un gruppo di ricercatori di Forescout Research Labs e JFrog Security Research ha individuato alcune vulnerabilità di sicurezza nei protocolli di comunicazione che vengono largamente usati dai sistemi di controllo industriale, che potrebbero consentire se opportunamente sfruttate di causare la manomissione di servizi e l'accesso a dati potenzialmente riservati.

INFRA:HALT è il nome dato ad un insieme di 14 vulnerabilità a carico di NicheStack, uno stack TCP/IP proprietario sviluppato originariamente da InterNiche Technologies, acquisita da HCC Embedded nel 2016. Lo sfruttamento di queste vulnerabilità può consentire l'esecuzione di codice da remoto, l'interruzione di servizi e la perdita di informazioni. Gli stack NicheStack sono utilizzati nei sistemi di tecnologia operativa, cioè quelli dedicati a monitorare e controllare processi fisici, dispositivi, macchinari e infrastrutture critiche. Si tratta di sistemi usati diffusamente in molti settori industriali: produzione, petrolio e gas, generazione e distribuzione di energia elettrica, aeronautica, settore marittimo, settore ferroviario e servizi pubblici. 

INFRA:HALT: vulnerabilità vecchie di vent'anni

Pur se scoperte di recente, alcune di queste vulnerabilità esistono da oltre 20 anni. La cosa non deve stupire, in quanto molte tecnologie operative si basano su protocolli e prodotti sviluppati nel passato quali elementi chiave. Attualmente vi sono oltre 200 importanti realtà nel mondo che fanno uso delle libreire NicheStack. Tutte le versioni di NicheStack fino alla 4.3, inclusa NicheLite, sono interessate da INFRA:HALT.

Le vulnerabilità, come dettaglia Forescout, sono principalmente legate a processi di pacchetti malformati che possono consentire ad un aggressore di impartire istruzioni per leggere e scrivere su parti della memoria a cui non dovrebbe avere accesso. Azioni di questo tipo possono condurre al bocco del dispositivo e ad un'interruzione delle comunicazioni, ma anche consentire all'aggressore di creare codice per eseguire istruzioni dannose, ed eventualmente prendere il controllo del dispositivo. Non è chiara quale possa essere la dimensione del parco dispositivi interessato, sebbene una scansione effettuata utilizzando Shodan ha già mostrato circa 6400 dispositivi vulnerabili.

Nel contesto dei sistemi di tecnologia operativa, l'arrestoanomalo dei dispositivi e può avere varie conseguenze gravi. Le vulnerabilità INFRA:HALT offrono la possibilità di eseguire codice remoto, che permetterebbe all'aggressore di assumenre il controllo di un dispositivo e non solo bloccarlo, ma anche fargli eseguire operazioni non previste o utilizzarlo per muoversi all'interno della rete.

Da un lato l'esecuzione di codice in remoto richiederebbe comunque una conoscenza dettagliata del funzionamento del sistema preso di mira, ma d'altra parte l'arresto anomalo e imprevisto del dispositivo è una strada più facile da percorrere con conseguenze comunque significative, specie se il dispositivo attaccato è usato per monitorare un'infrastruttura critica.

Le vulnerabilità, già comunicate ad HCC Embedded da tempo, sono state corrette dalla società nel corso degli ultimi sei mesi, con il rilascio di patch apposite. I ricercatori hanno contattato anche il CERT, l'autorità federale tedesca per la sicurezza informatica e ICS-CERT (il team dedicato alla risposta alle emergenze per quanto riguarda i sistemi di controllo industriale. La data di divulgazione pubblica è stata concordata tra le parti allo scopo di sensibilizzare chi non ha ancora provveduto ad aggiornare i prorpi sistemi.

I ricercatori di Forescout suggeriscono inoltre di adottare, come ulteriore misura di sicurezza generale, la segmentazione della rete così che la tecnologia operativa che non necessita esposizione su Internet possa venir scoperta da remoto. I ricercatori hanno reso disponibile anche uno script open source per rilevare i dispositivi di rete che eseguono NicheStack, così da fornire visibilità sulle reti e adottare, nel caso, le contromisure opportune.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan05 Agosto 2021, 18:47 #1
Quando il software non è opensource e free software le vulnerabilità vengono scoperte solo dopo decenni con conseguente rischio che gli interessati ai bachi (Crakers) ne siano a conoscenza da tempo.

Poi ci sono stati bachi fondamentali anche in linux che sono stravecchi ma la mia idea è che questo capiti molto più raramente.
phmk05 Agosto 2021, 20:33 #2
Conosco benissimo il controllo di processo nella petrolchimica e questo proprio non mi risulta.
I sistemi DCS o SCADA lì usati innanzitutto NON sono connessi MAI ad Internet se non nel breve periodo degli aggiornamenti necessari e sempre tramite opportuni firewall controllati ed aggiornati, inoltre i sistemi operativi di "basso livello", ovvero quelli che gestiscono il controllo degli attuatori (valvole, motori di pompe, switch ON-OFF etc. etc.) che poi sono quelli da cui potrebbe partire il vero "guaio" non sono certo nè Windows nè Linux, ma proprietari derivati da Unix e molto "blindati" ...
Quindi ?
giovanni6905 Agosto 2021, 23:43 #3
... un po' di hype per sollecitare il rinnovo di qualche segmento dell'industria, ha sempre il suo effetto... pensate un po' se solo una % di "produzione, petrolio e gas, generazione e distribuzione di energia elettrica, aeronautica, settore marittimo, settore ferroviario e servizi pubblici. " si mettesse a rinnovare, magari sotto la spinta di incentivi governativi sollecitati dalla nuova Agenzia cybersecurity...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^