.
Rockwell Automation
Na sexta-feira, a Microsoft divulgou 15 vulnerabilidades de alta gravidade em uma coleção amplamente utilizada de ferramentas usadas para programar dispositivos operacionais dentro de instalações industriais, como usinas de geração de energia, automação de fábrica, automação de energia e automação de processos. A empresa alertou que, embora seja difícil explorar as vulnerabilidades de execução de código e negação de serviço, isso permitiu que os agentes de ameaças “infligissem grandes danos aos alvos”.
As vulnerabilidades afetam o kit de desenvolvimento de software CODESYS V3. Os desenvolvedores de empresas como a Schneider Electric e a WAGO usam ferramentas independentes de plataforma para desenvolver controladores lógicos programáveis, dispositivos do tamanho de torradeiras que abrem e fecham válvulas, giram rotores e controlam vários outros dispositivos físicos em instalações industriais em todo o mundo. Especificamente, o SDK permite que os desenvolvedores tornem os PLCs compatíveis com o IEC 611131-3, um padrão internacional que define linguagens de programação seguras para uso em ambientes industriais. Exemplos de dispositivos que usam o CODESYS V3 incluem o Modicon TM251 da Schneider Electric e o WAGO PFC200.
“Um ataque do DOS contra um dispositivo usando uma versão vulnerável do CODESYS pode permitir que agentes de ameaças desliguem uma usina de energia, enquanto a execução remota de código pode criar um backdoor para dispositivos e permitir que invasores adulterem as operações, fazendo com que um PLC seja executado de maneira incomum , ou roubar informações críticas”, escreveram os pesquisadores da Microsoft. O comunicado de sexta-feira continuou dizendo:
Com o CODESYS sendo usado por muitos fornecedores, uma vulnerabilidade pode afetar muitos setores, tipos de dispositivos e verticais, sem falar em várias vulnerabilidades. Todas as vulnerabilidades podem levar a DoS e 1 RCE. Embora a exploração das vulnerabilidades descobertas exija profundo conhecimento do protocolo proprietário do CODESYS V3, bem como autenticação do usuário (e permissões adicionais são necessárias para uma conta ter controle do PLC), um ataque bem-sucedido tem o potencial de infligir grandes danos aos alvos. Atores de ameaças podem lançar um ataque DoS contra um dispositivo usando uma versão vulnerável do CODESYS para encerrar operações industriais ou explorar as vulnerabilidades RCE para implantar um backdoor para roubar dados confidenciais, adulterar operações ou forçar um PLC a operar de maneira perigosa.
A Microsoft notificou em particular a Codesys sobre as vulnerabilidades em setembro e, desde então, a empresa lançou patches que corrigem as vulnerabilidades. É provável que, até agora, muitos fornecedores que usam o SDK tenham instalado atualizações. Quem ainda não o fez deve fazer disso uma prioridade.
A Microsoft disse que explorar as vulnerabilidades exigia um profundo conhecimento do protocolo proprietário da Codesys. Também exige que os invasores ultrapassem um grande obstáculo na forma de obter autenticação para um dispositivo vulnerável. Uma maneira de obter autenticação é explorar uma vulnerabilidade já corrigida rastreada como CVE-2019-9013 no caso de um PLC ainda não ter sido corrigido contra ela.
Embora as vulnerabilidades sejam difíceis de explorar, os agentes de ameaças conseguiram realizar esses ataques no passado. Malware rastreado como Triton e Trisis foi usado em pelo menos duas instalações críticas. O malware, atribuído ao Kremlin, foi projetado para desativar os sistemas de segurança que detectam e corrigem condições inseguras.
Tais ataques são raros, no entanto. Combinado com a probabilidade de que as 15 vulnerabilidades sejam corrigidas na maioria dos ambientes de produção anteriormente vulneráveis, as terríveis consequências que a Microsoft está alertando parecem improváveis.
Em um e-mail recebido depois que esta postagem foi publicada no Ars, Jimmy Wylie e Sam Hanson, analista de malware líder técnico e analista sênior de vulnerabilidades da empresa de segurança de controle industrial Dragos, forneceram esta avaliação das vulnerabilidades:
Dada a participação de mercado da CODESYS e a base de clientes entre setores, vulnerabilidades como essas descobertas pela Microsoft devem ser levadas a sério por clientes e fornecedores. Dito isso, o CODESYS não é amplamente usado na geração de energia, mas sim na manufatura discreta e em outros tipos de controle de processo. Portanto, isso por si só deve aliviar alguma preocupação quando se trata do potencial de “desligar uma usina”.
Ao olhar especificamente para essas vulnerabilidades e para o comunicado publicado da CODESYS, todas elas exigem autenticação para uma exploração bem-sucedida. Mas se um adversário for autenticado (tem o nome de usuário e a senha) no seu PLC, você terá problemas maiores do que esses CVEs e eles podem fazer todo tipo de coisa que torne os CVEs desnecessários.
De qualquer forma, simplesmente ter uma exploração RCE ou DOS não é o mesmo que ter a capacidade de desligar uma usina de energia ou, digamos, fazer alterações específicas em um processo de fabricação. Por exemplo, o ataque TRISIS em 2017 incluiu uma exploração de 0 dias para aquele controlador de segurança e, embora saibamos que os invasores estiveram lá por algum tempo, eles nunca foram capazes de fazer nada realmente desastroso, além de algumas consequências financeiras. A razão é que os sistemas industriais são extremamente complexos, e ser capaz de acessar uma parte não significa necessariamente que tudo irá desmoronar. Essas coisas não são torres jenga vacilantes, onde um tijolo significa colapso iminente. Eles são mais como arranha-céus projetados para resiliência contra uma variedade de fatores, como vento e terremotos.
As vulnerabilidades são rastreadas como:
A Codesys divulgou na sexta-feira seu próprio comunicado, e a Microsoft disponibilizou aqui um código que ajuda as organizações a identificar quaisquer dispositivos vulneráveis que ainda possam estar em uso.
.
