Hacking dei server ICS Historian: punto di snodo dalla rete IT ai sistemi OT

Pubblicato il 24 gennaio 2023

I server historian vengono utilizzati all’interno delle reti aziendali ormai da molto tempo. Questi database critici, infatti, non solo archiviano i dati raccolti dai sistemi di controllo industriale, ma si estendono anche alla rete aziendale condividendo le informazioni con i sistemi di pianificazione delle risorse aziendali e le piattaforme di analisi. Da un punto di vista tecnico, un historian è un database centralizzato situato nella rete locale del sistema di controllo che gestisce l’archiviazione dei dati e la loro correlazione utilizzando tecniche di controllo del processo statistico.

Ad esempio, un server historian in una fabbrica di produzione farmaceutica conserverebbe informazioni importanti sull’operazione di produzione in lotti, inclusa la temperatura delle sostanze in un dato momento, i livelli di PH e così via. I server historian rappresentano, però, anche un collegamento che sia ricercatori sia criminali informatici possono utilizzare per passare dai sistemi aziendali alle reti OT.

Per comprendere meglio come possano essere effettuati questi attacchi, Team82 ha studiato Proficy Historian di GE, un server storico che raccoglie, archivia e distribuisce serie temporali e dati ingegneristici. Le operazioni di automazione industriale generano dati importanti sullo stato di asset e processi e i server historian svolgono un ruolo considerevole nell’elaborazione e nell’analisi di tali informazioni on-premise o nel cloud al fine di comprendere e migliorare l’efficienza dei processi. Per un utente malintenzionato informazioni come il controllo del processo, le prestazioni e i dati di manutenzione hanno un valore considerevole.

Ecco, quindi, i motivi principali per i quali prendere di mira i server historian:

  • Raccogliere informazioni sui processi industriali
  • Utilizzare il loro accesso a scopo di lucro.
  • Manipolare un processo di automazione modificando o eliminando i dati per interrompere le operazioni.
  • Danneggiamento delle apparecchiature o pericolo per gli operatori.
  • Sfruttare il punto di articolazione della rete OT.

In questo contesto, il lavoro di Team82 ha portato alla luce cinque vulnerabilità, inclusi bypass dell’autenticazione, manipolazione di file e bug di esecuzione di codice in modalità remota. L’obiettivo dei ricercatori Claroty era quello di provare ad assumere il pieno controllo di un server historian per modificare i record storici in una fabbrica farmaceutica immaginaria. Il primo passo è stato installare il server e comprenderne il funzionamento interno, quindi decodificare i protocolli di governo e capire come funzionava il meccanismo di autenticazione.

Il Team82 ha quindi cercato le vulnerabilità e scritto al proprio client per sfruttarle da remoto ed eseguire un codice non autorizzato sul server. Infine, una volta ottenuta una shell inversa sul server, i ricercatori di Team82 sono stati in grado di modificare i record.

GE ha corretto le vulnerabilità in Proficy Historian 2023 e in tutte le versioni interessate, annullando l’impatto dei proof-of-concept di Team82 e invitando i propri utenti ad aggiornare i server Proficy Historian interessati per non esporli ad attacchi remoti.

L’analisi completa effettuata da Team82 di Claroty è disponibile qui.



Contenuti correlati

  • Copa-Data ri-certifica con successo il suo server OPC UA

    In qualità di early adopter, Copa-Data ha riconosciuto fin dall’inizio l’importanza dello standard OPC UA – Unified Architecture e ha sviluppato e certificato il proprio server OPC UA, implementato con zenon OPC UA Process Gateway. La specifica...

  • Kaspersky cybersecurity Q2 2024
    Ransomware, Kaspersky registra +20% di attacchi ai sistemi industriali

    Kaspersky ha pubblicato il report Q2 2024 sulla cybersecurity degli Industrial Control Systems (ICS), rivelando un aumento del 20% degli attacchi ransomware rispetto al trimestre precedente. Il report sottolinea la crescente minaccia ai settori delle infrastrutture critiche...

  • Bitdefender: gli impianti a energia solare sono a rischio di attacco

    Bitdefender ha pubblicato una ricerca sui punti deboli di una piattaforma di gestione di impianti fotovoltaici ampiamente utilizzata e di una piattaforma di inverter fotovoltaici. Le vulnerabilità, se accoppiate, potrebbero consentire a un hacker di ottenere pieno...

  • Sicurezza IIoT: i 5 step da osservare secondo Claroty

    Dal ransomware agli attacchi DDoS (Distributed Denial of Service), fino alla presenza di dispositivi legacy, le minacce legate all’IIoT non accennano a diminuire. Con la continua espansione dell’IIoT e la comparsa di nuove possibilità di attacco, le...

  • Clusit rapporti cybersecurity pubblica amministrazione sanità
    Cybersecurity nella PA e nella sanità, l’andamento nei rapporti Clusit

    Gli attacchi condotti dalla criminalità organizzata verso l’Italia sono in aumento più che nel resto del mondo, con una percentuale del 65% tra il 2022 e il 2023 (verso una crescita del 12% a livello globale). A...

  • A protezione del paziente

    Innovazione digitale e cybersicurezza all’Ospedale Israelitico grazie all’utilizzo di Medigate di Claroty nei sistemi di protezione dell’infrastruttura ICT: un primo passo verso un progetto globale che vede la messa in sicurezza dell’intero network ospedaliero I dati relativi...

  • Layer di collegamento tra produzione e management

    Come si crea uno ‘strato software’ che faccia realmente convergere IT e OT? Efficienza, sicurezza e interoperabilità sono le 3 parole chiave A cosa ci riferiamo quando parliamo di Production & Management Integration Layer? È presto detto....

  • I cinque pilastri del DORA – Digital Operational Resilience Act

    L’importanza della resilienza operativa per le organizzazioni ha portato l’Unione Europea alla definizione del Digital Operational Resilience Act (DORA), istituito per rafforzare le strutture delle tecnologie dell’informazione e della comunicazione (ICT) delle aziende del settore finanziario. L’approccio...

  • Dominoni Claroty cybersecurity supply chain
    Alcuni spunti per prevenire gli attacchi informatici alla supply chain

    a cura di Domenico Dominoni, Director of Sales South Europe di Claroty L’aumento della connettività ha contribuito a rendere le industrie manifatturiere obiettivi sempre più interessanti per i criminali informatici. Oggi, infatti, gli attacchi informatici sfruttano l’interconnessione...

  • Soluzioni di cybersecurity per reti OT

    Prodotti e soluzioni che permettono di proteggere le reti OT (operations technology) industriali della fabbrica, i sistemi Scada e ICS da attacchi malevoli e dai cyber criminali Dalla teoria alla pratica: vediamo quali sono le soluzioni disponibili...

Scopri le novità scelte per te x