I server historian vengono utilizzati all’interno delle reti aziendali ormai da molto tempo. Questi database critici, infatti, non solo archiviano i dati raccolti dai sistemi di controllo industriale, ma si estendono anche alla rete aziendale condividendo le informazioni con i sistemi di pianificazione delle risorse aziendali e le piattaforme di analisi. Da un punto di vista tecnico, un historian è un database centralizzato situato nella rete locale del sistema di controllo che gestisce l’archiviazione dei dati e la loro correlazione utilizzando tecniche di controllo del processo statistico.
Ad esempio, un server historian in una fabbrica di produzione farmaceutica conserverebbe informazioni importanti sull’operazione di produzione in lotti, inclusa la temperatura delle sostanze in un dato momento, i livelli di PH e così via. I server historian rappresentano, però, anche un collegamento che sia ricercatori sia criminali informatici possono utilizzare per passare dai sistemi aziendali alle reti OT.
Per comprendere meglio come possano essere effettuati questi attacchi, Team82 ha studiato Proficy Historian di GE, un server storico che raccoglie, archivia e distribuisce serie temporali e dati ingegneristici. Le operazioni di automazione industriale generano dati importanti sullo stato di asset e processi e i server historian svolgono un ruolo considerevole nell’elaborazione e nell’analisi di tali informazioni on-premise o nel cloud al fine di comprendere e migliorare l’efficienza dei processi. Per un utente malintenzionato informazioni come il controllo del processo, le prestazioni e i dati di manutenzione hanno un valore considerevole.
Ecco, quindi, i motivi principali per i quali prendere di mira i server historian:
- Raccogliere informazioni sui processi industriali
- Utilizzare il loro accesso a scopo di lucro.
- Manipolare un processo di automazione modificando o eliminando i dati per interrompere le operazioni.
- Danneggiamento delle apparecchiature o pericolo per gli operatori.
- Sfruttare il punto di articolazione della rete OT.
In questo contesto, il lavoro di Team82 ha portato alla luce cinque vulnerabilità, inclusi bypass dell’autenticazione, manipolazione di file e bug di esecuzione di codice in modalità remota. L’obiettivo dei ricercatori Claroty era quello di provare ad assumere il pieno controllo di un server historian per modificare i record storici in una fabbrica farmaceutica immaginaria. Il primo passo è stato installare il server e comprenderne il funzionamento interno, quindi decodificare i protocolli di governo e capire come funzionava il meccanismo di autenticazione.
Il Team82 ha quindi cercato le vulnerabilità e scritto al proprio client per sfruttarle da remoto ed eseguire un codice non autorizzato sul server. Infine, una volta ottenuta una shell inversa sul server, i ricercatori di Team82 sono stati in grado di modificare i record.
GE ha corretto le vulnerabilità in Proficy Historian 2023 e in tutte le versioni interessate, annullando l’impatto dei proof-of-concept di Team82 e invitando i propri utenti ad aggiornare i server Proficy Historian interessati per non esporli ad attacchi remoti.
L’analisi completa effettuata da Team82 di Claroty è disponibile qui.