Hacking dei server ICS Historian: punto di snodo dalla rete IT ai sistemi OT

Pubblicato il 24 gennaio 2023

I server historian vengono utilizzati all’interno delle reti aziendali ormai da molto tempo. Questi database critici, infatti, non solo archiviano i dati raccolti dai sistemi di controllo industriale, ma si estendono anche alla rete aziendale condividendo le informazioni con i sistemi di pianificazione delle risorse aziendali e le piattaforme di analisi. Da un punto di vista tecnico, un historian è un database centralizzato situato nella rete locale del sistema di controllo che gestisce l’archiviazione dei dati e la loro correlazione utilizzando tecniche di controllo del processo statistico.

Ad esempio, un server historian in una fabbrica di produzione farmaceutica conserverebbe informazioni importanti sull’operazione di produzione in lotti, inclusa la temperatura delle sostanze in un dato momento, i livelli di PH e così via. I server historian rappresentano, però, anche un collegamento che sia ricercatori sia criminali informatici possono utilizzare per passare dai sistemi aziendali alle reti OT.

Per comprendere meglio come possano essere effettuati questi attacchi, Team82 ha studiato Proficy Historian di GE, un server storico che raccoglie, archivia e distribuisce serie temporali e dati ingegneristici. Le operazioni di automazione industriale generano dati importanti sullo stato di asset e processi e i server historian svolgono un ruolo considerevole nell’elaborazione e nell’analisi di tali informazioni on-premise o nel cloud al fine di comprendere e migliorare l’efficienza dei processi. Per un utente malintenzionato informazioni come il controllo del processo, le prestazioni e i dati di manutenzione hanno un valore considerevole.

Ecco, quindi, i motivi principali per i quali prendere di mira i server historian:

  • Raccogliere informazioni sui processi industriali
  • Utilizzare il loro accesso a scopo di lucro.
  • Manipolare un processo di automazione modificando o eliminando i dati per interrompere le operazioni.
  • Danneggiamento delle apparecchiature o pericolo per gli operatori.
  • Sfruttare il punto di articolazione della rete OT.

In questo contesto, il lavoro di Team82 ha portato alla luce cinque vulnerabilità, inclusi bypass dell’autenticazione, manipolazione di file e bug di esecuzione di codice in modalità remota. L’obiettivo dei ricercatori Claroty era quello di provare ad assumere il pieno controllo di un server historian per modificare i record storici in una fabbrica farmaceutica immaginaria. Il primo passo è stato installare il server e comprenderne il funzionamento interno, quindi decodificare i protocolli di governo e capire come funzionava il meccanismo di autenticazione.

Il Team82 ha quindi cercato le vulnerabilità e scritto al proprio client per sfruttarle da remoto ed eseguire un codice non autorizzato sul server. Infine, una volta ottenuta una shell inversa sul server, i ricercatori di Team82 sono stati in grado di modificare i record.

GE ha corretto le vulnerabilità in Proficy Historian 2023 e in tutte le versioni interessate, annullando l’impatto dei proof-of-concept di Team82 e invitando i propri utenti ad aggiornare i server Proficy Historian interessati per non esporli ad attacchi remoti.

L’analisi completa effettuata da Team82 di Claroty è disponibile qui.



Contenuti correlati

  • Soluzioni di cybersecurity per reti OT

    Prodotti e soluzioni che permettono di proteggere le reti OT (operations technology) industriali della fabbrica, i sistemi Scada e ICS da attacchi malevoli e dai cyber criminali Dalla teoria alla pratica: vediamo quali sono le soluzioni disponibili...

  • Regole per una cybersecurity OT

    Esploriamo le strategie emergenti e le tendenze nel campo della sicurezza delle infrastrutture OT, Scada e ICS, focalizzandoci sull’automazione dei sistemi di monitoraggio e sull’uso dell’intelligenza artificiale Le infrastrutture operative (OT), i sistemi di controllo industriale (ICS)...

  • Quadrifoglio Group
    Quadrifoglio Group affida a Claroty la sicurezza digitale

    Quadrifoglio Group, azienda specializzata nella produzione di mobili d’ufficio e uno dei principali player in Italia e all’estero per la realizzazione di progetti di arredo completi e su misura, si è affidata a Claroty, società specializzata nella...

  • Claroty estende la sicurezza OT alla piattaforma Managed Extended Detection and Response di Deloitte

    Sicurezza OT: Claroty xDome di Claroty, società specializzata nella protezione di sistemi cyber-fisici (CPS) per ambienti industriali, alimenterà il modulo di tecnologia operativa (OT) integrato nell’offerta della piattaforma Managed Extended Detection and Response (MXDR) di Deloitte per la...

  • Come difendere i CPS

    Dalla convergenza di IT e OT nascono i sistemi cyber-fisici: l’evoluzione e le sfide per la sicurezza analizzati da Claroty Leggi l’articolo

  • Claroty: nuove partnership con Managed Security Service Providers (MSSP) di livello globale

    Claroty, società specializzata in sistemi cyber-fisici (CPS) per ambienti industriali, annuncia l’ingresso di diversi Managed Security Service Provider (MSSP), tra cui IBM, NTT Data, eSentire e Rockwell Automation, all’interno del proprio Focus Partner Program. Inseriti nel programma...

  • Il futuro del lavoro di fabbrica con gli esoscheletri

    Rendere i luoghi di lavoro più sani, sicuri, produttivi e attraenti. Questi sono gli obiettivi degli esoscheletri nelle fabbriche del futuro. Gli esoscheletri aumentano le potenzialità del corpo umano e riducono lo sforzo e gli infortuni durante...

  • La sicurezza in 5 punti

    I 5 aspetti più rilevanti dei CPG (Cybersecurity Performance Goal) pubblicati da Cisa: una guida per aiutare le aziende di piccole dimensioni e con poche risorse a stabilire le priorità in ambito di sicurezza informatica e ridurre i rischi...

  • ftServer_di_Stratus
    Le piattaforme Stratus garantiscono la disponibilità di applicazioni mission-critical

    Stratus Technologies ha sviluppato la nuova generazione di piattaforme di elaborazione fault tolerant, Stratus ftServer. Con prestazioni fino al 25% superiori, queste piattaforme di ultima generazione offrono un maggior numero di CPU core, una maggiore potenza di...

  • Pwn2Own: l’hackaton Trend Micro distribuisce un montepremi record

    Trend Micro ha annunciato i vincitori dell’edizione primaverile di Pwn2Own, che in questa occasione si è tenuta a Vancouver. I partecipanti hanno scoperto 27 vulnerabilità uniche zero-day, aiutando i vendor a rendere i propri prodotti più sicuri...

Scopri le novità scelte per te x