Hacking dei server ICS Historian: punto di snodo dalla rete IT ai sistemi OT

Pubblicato il 24 gennaio 2023

I server historian vengono utilizzati all’interno delle reti aziendali ormai da molto tempo. Questi database critici, infatti, non solo archiviano i dati raccolti dai sistemi di controllo industriale, ma si estendono anche alla rete aziendale condividendo le informazioni con i sistemi di pianificazione delle risorse aziendali e le piattaforme di analisi. Da un punto di vista tecnico, un historian è un database centralizzato situato nella rete locale del sistema di controllo che gestisce l’archiviazione dei dati e la loro correlazione utilizzando tecniche di controllo del processo statistico.

Ad esempio, un server historian in una fabbrica di produzione farmaceutica conserverebbe informazioni importanti sull’operazione di produzione in lotti, inclusa la temperatura delle sostanze in un dato momento, i livelli di PH e così via. I server historian rappresentano, però, anche un collegamento che sia ricercatori sia criminali informatici possono utilizzare per passare dai sistemi aziendali alle reti OT.

Per comprendere meglio come possano essere effettuati questi attacchi, Team82 ha studiato Proficy Historian di GE, un server storico che raccoglie, archivia e distribuisce serie temporali e dati ingegneristici. Le operazioni di automazione industriale generano dati importanti sullo stato di asset e processi e i server historian svolgono un ruolo considerevole nell’elaborazione e nell’analisi di tali informazioni on-premise o nel cloud al fine di comprendere e migliorare l’efficienza dei processi. Per un utente malintenzionato informazioni come il controllo del processo, le prestazioni e i dati di manutenzione hanno un valore considerevole.

Ecco, quindi, i motivi principali per i quali prendere di mira i server historian:

  • Raccogliere informazioni sui processi industriali
  • Utilizzare il loro accesso a scopo di lucro.
  • Manipolare un processo di automazione modificando o eliminando i dati per interrompere le operazioni.
  • Danneggiamento delle apparecchiature o pericolo per gli operatori.
  • Sfruttare il punto di articolazione della rete OT.

In questo contesto, il lavoro di Team82 ha portato alla luce cinque vulnerabilità, inclusi bypass dell’autenticazione, manipolazione di file e bug di esecuzione di codice in modalità remota. L’obiettivo dei ricercatori Claroty era quello di provare ad assumere il pieno controllo di un server historian per modificare i record storici in una fabbrica farmaceutica immaginaria. Il primo passo è stato installare il server e comprenderne il funzionamento interno, quindi decodificare i protocolli di governo e capire come funzionava il meccanismo di autenticazione.

Il Team82 ha quindi cercato le vulnerabilità e scritto al proprio client per sfruttarle da remoto ed eseguire un codice non autorizzato sul server. Infine, una volta ottenuta una shell inversa sul server, i ricercatori di Team82 sono stati in grado di modificare i record.

GE ha corretto le vulnerabilità in Proficy Historian 2023 e in tutte le versioni interessate, annullando l’impatto dei proof-of-concept di Team82 e invitando i propri utenti ad aggiornare i server Proficy Historian interessati per non esporli ad attacchi remoti.

L’analisi completa effettuata da Team82 di Claroty è disponibile qui.



Contenuti correlati

  • SyncJacking: la vulnerabilità dell’hard matching consente l’acquisizione dell’account Azure AD

    Semperis ha scoperto un abuso della sincronizzazione hard matching in Azure AD Connect che può portare all’acquisizione di account Azure AD. Questi risultati si basano sulla ricerca pubblicata in agosto da Semperis, riguardo l’abuso del soft matching (noto...

  • Synology Active Insight
    Monitoraggio avanzato e sicuro dei server con Active Insight di Synology

    Synology ha reso disponibile Active Insight, una piattaforma di gestione e monitoraggio dei server ospitata su cloud con cui gli amministratori possono proteggere i loro sistemi Synology in tutto il mondo dal rischio di guasti hardware, perdita...

  • Gestione avanzata per i servizi idrici

    A Jesi e Castelbellino, Viva Servizi ha deciso di sottoporre il sistema di depuratori a un aggiornamento anche della gestione degli allarmi con lo Scada di GE distribuito e supportato in Italia da ServiTecno Leggi l’articolo

  • Industry 4.0: l’89% delle aziende è colpito da attacchi cyber e subisce milioni di perdite

    Nell’ultimo anno l’89% delle organizzazioni nei settori elettrico, oil&gas e manifatturiero ha subito un attacco cyber che ha danneggiato la produzione e la fornitura di energia. Il dato emerge da “The State of Industrial Cybersecurity”, l’ultimo studio...

  • Specializzato o meglio integrato?

    La sicurezza informatica sta acquisendo importanza sempre maggiore a causa delle crescenti minacce e dei requisiti normativi. In questo contesto vanno presi in considerazione sia l’ambiente IT sia l’ambiente dei sistemi di controllo industriale (ICS), ovvero uffici...

  • Nato per stare nel cloud

    Historian in cloud per le utility: la miglior tecnologia per gestire i dati OT su applicazioni di grande scala senza le problematiche dell’hardware Leggi l’articolo

  • Le cyberminacce, l’altra faccia dell’era digitale

    La tecnologia operativa (OT) non è più ‘air-gapped’ e la sfida chiave resta quella di rendere sicuri i sistemi di controllo industriale (ICS), via via più convergenti con i sistemi IT, ma che necessitano anche di strumenti...

  • Un ‘guardian’ onniveggente

    La tecnologia OT/IoT di Nozomi Networks permette a una multinazionale specializzata nella produzione di soluzioni tecnologiche e medicali di avere piena visibilità sul proprio network, identificare le minacce e reagire per tempo Leggi l’articolo  

  • Partnership fra Palo Alto Networks e Siemens per la protezione delle infrastrutture critiche

    Palo Alto Networks ha esteso la partnership tecnologica con Siemens per migliorare la sicurezza delle reti mission-critical e prevenire le minacce di attacchi informatici alle infrastrutture critiche. Le aziende integreranno i Virtual Next-Generation Firewall VM-Series di Palo...

  • Digital twin, il modello Industria 4.0 guida lo sviluppo dei gemelli digitali

    I digital twin favoriscono la transizione delle imprese verso i paradigmi della quarta rivoluzione industriale, ma, per implementarli in maniera efficace, la sola integrazione di nuova tecnologia non basta: servono solide competenze in materia di analisi e...

Scopri le novità scelte per te x