Una ricerca scopre cinque vulnerabilità nei PLC di sicurezza Mitsubishi
-
- Tweet
- Pin It
- Condividi per email
-
Alla fine del 2020, Nozomi Networks Labs ha iniziato un progetto di ricerca su Melsoft, il protocollo di comunicazione utilizzato dai PLC di sicurezza Mitsubishi e GX Works3, il software corrispondente delle workstation di progettazione. L’analisi si è focalizzata sull’implementazione dell’autenticazione poiché ha notato che prodotti OT simili di altri fornitori contengono vulnerabilità in questa superficie di attacco.
Oltre a rivelare a Mitsubishi le vulnerabilità, Nozomi Networks condiviso proattivamente i PoC e tutti i dettagli tecnici della ricerca affinché l’azienda potesse elaborare una strategia risolutiva.
Gli aggiornamenti per prodotti come i PLC di sicurezza o i dispositivi medici richiedono più tempo per essere distribuiti rispetto ad altri software perché, oltre a sviluppare e testare la patch, i vendor sono tenuti a rispettare processi di certificazione specifici. A seconda del tipo di dispositivo e del quadro normativo, potrebbe essere necessaria la procedura di certificazione per ogni singolo aggiornamento.
In attesa che il processo di sviluppo e distribuzione della patch fosse completato, Nozomi Networks distribuito la logica di rilevamento ai clienti del suo servizio di Threat Intelligencee iniziato la ricerca di strategie di rilevamento più generali da condividere con la comunità di sicurezza ICS.
È probabile che i problemi rilevati influenzino l’autenticazione dei protocolli OT di più di un singolo fornitore, e desideriamo aiutare a proteggere quanti più sistemi possibile. La preoccupazione è che i clienti possano fare troppo affidamento sulla sicurezza degli schemi di autenticazione propri dei protocolli OT, senza conoscere i dettagli tecnici e i modelli di failure di queste implementazioni.
Descrizione delle vulnerabilità di autenticazione di Mitsubishi Melsoft
Modelli di minaccia
Nella ricerca sono considerati due modelli di minaccia. Nel primo, l’attaccante è limitato e può solo scambiare pacchetti con il PLC di destinazione. Nel secondo, oltre allo scambio di pacchetti, è anche in grado di effettuare lo sniffing del traffico di rete tra la stazione di lavoro (EWS) e il PLC di destinazione.
Panoramica sull’autenticazione Melsoft
Melsoft è stato analizzato sulla porta TCP 5007. L’autenticazione è implementata con una coppia nome utente/password. In questo schema, l’EWS invia prima un pacchetto contenente il nome utente in chiaro e riceve una risposta dal PLC che conferma se il nome sia valido. In caso affermativo, l’EWS invia un secondo pacchetto contenente un hash generato da un insieme di elementi, uno di questi è la password in chiaro.
Segue una descrizione di alto livello delle vulnerabilità che l’azienda ha scoperto.
Brute-force del nome utente
Per quanto ne sappiamo, l’esposizione del nome utente in chiaro via cavo è stata affrontata con una serie di mitigazioni. Nozomi Networks invece cercato di capire se la lista dei nomi utente validi potesse essere rivelata attraverso tecniche brute-force. Per verificare l’ipotesi, haimplementato un PoC, e il risultato è che gli username sono effettivamente brute-forceable. Il fattore limitante per un attaccante è la lunghezza massima per un nome utente, che è di 20 caratteri.
La funzionalità anti-password brute-force porta a un meccanismo di blocco dell’account eccessivamente restrittivo.
Una volta implementate le primitive di Malsoft per eseguire un’autenticazione di successo, è stato esteso il PoC iniziale con un forzatore di password che, dato un utente valido, prova ripetutamente una combinazione di password fino a trovare quella corretta. Fortunatamente, in questo caso, c’è un meccanismo anti-brute-force che blocca efficacemente un attaccante.
Tuttavia, l’implementazione del meccanismo è eccessivamente restrittiva. Non blocca solo un potenziale aggressore che usa un singolo IP, ma qualunque utente da qualsiasi IP per un certo periodo di tempo.
La conseguenza di questo design è che se un attaccante invia un numero limitato di password al PLC, sufficiente ad attivare la protezione anti-brute-force, tutti gli utenti con credenziali legittime sono effettivamente bloccati dall’autenticazione. Se un attacco di questo tipo è in corso, il proprietario della risorsa ha due opzioni:
- Bloccare i pacchetti password brute-force dal raggiungere il PLC e aspettare che la finestra temporale scada prima di autenticarsi.
- Riavviare fisicamente il dispositivo e autenticarsi immediatamente dopo che il processo di riavvio è stato completato.
Fughe di segreti equivalenti alle password
Sono stati due casi in cui un segreto derivato dalla password in chiaro è trapelato in un pacchetto. Un attaccante in grado di leggere tale pacchetto potrà usarlo per autenticarsi con il PLC. A causa del modo in cui l’autenticazione è implementata, questo segreto è funzionalmente equivalente alla password in chiaro. Nozomi Networks ha implementato un PoC che esegue un’autenticazione con questo segreto, invece di usare la password in chiaro.
Gestione dei gettoni di sessione
Dopo che un’autenticazione con un nome utente/password corretto è stata completata, viene generato un token di sessione che viene trasmesso in chiaro via wire. Il problema principale della gestione della sessione di Melsoft è che questo token non è legato a un indirizzo IP, né viene invalidato una volta che l’applicazione EWS viene chiusa. Un attaccante in grado di leggere un singolo comando privilegiato contenente un token di sessione può quindi riutilizzarlo da un altro IP dopo che è stato generato, in una finestra di poche ore.
Ideare uno scenario d’attacco concatenando più vulnerabilità
Se concateniamo alcune delle vulnerabilità identificate, emergono diversi scenari di attacco. È importante capire questo approccio perché gli attacchi del mondo reale sono spesso eseguiti sfruttando diverse vulnerabilità per raggiungere l’obiettivo finale.
In questo caso, un attaccante può iniziare registrando un singolo pacchetto che contiene il token per una sessione autenticata di un amministratore PLC, scegliendo il momento in cui ritiene ci siano minori possibilità di essere notati. L’attaccante chiederà poi al PLC la lista degli utenti registrati che conterrà anche il segreto equivalente alla password per ognuno di essi. Una volta che questi segreti sono stati ottenuti, non c’è bisogno di fare affidamento sul token di sessione, che dura solo poche ore.
La fase successiva può quindi avvenire quando si avrà la possibilità di avere l’impatto maggiore. L’attaccante può accedere con credenziali reali e cambiare la logica del PLC di sicurezza per poi iniziare un attacco brute-force alla password per bloccare tutti fuori dal PLC. Quando gli ingegneri cercheranno di riottenere l’accesso attraverso la workstation di ingegneria, non saranno in grado di farlo a meno che non riescano a impedire ai pacchetti di password brute-force di raggiungere il PLC.
Infine, se l’attaccante cambia le password degli utenti registrati, non c’è altra scelta che spegnere fisicamente il PLC per prevenire potenziali danni.
Contenuti correlati
-
SICK partecipa all’edizione 2024 di SPS Italia con tante novità sulla sensoristicaSoluzioni personalizzate per un futuro su misura. Da qui parte SICK a SPS Italia, la fiera sulla tecnologia e l’innovazione diventata un punto di riferimento per il comparto manifatturiero italiano. Appuntamento a Fiere di Parma, dal 28 al...
-
Commend: comunicazioni efficienti a prova di “rumore” e “sicurezza”Quando il rumore aumenta, le comunicazioni devono essere ancora più chiare. Lo sa bene Commend Italia, specialista in sistemi di comunicazione e sicurezza, che ha collaborato con il Gruppo Pittini, produttore europeo specializzato in acciai lunghi per l’edilizia...
-
Schneider Electric presenta EcoStruxure Secure ConnectSchneider Electric va incontro alle crescenti esigenze di cybersecurity in ambito industriale proponendo EcoStruxure Secure Connect. Nel settore dell’automazione industriale, stiamo assistendo a un aumento significativo di macchine installate e connesse, per le quali la cybersecurity rappresenta un requisito fondamentale. Da...
-
NSK partecipa allo sviluppo di una mano robotica altamente personalizzabileNSK e il Centro Aerospaziale Tedesco (DLR, Deutsches Zentrum für Luft- und Raumfahrt) stanno sviluppando una mano robotica che aiuterà ad automatizzare attività manuali, in particolare nell’industria dei servizi. Il concetto ruota attorno a una mano robotica...
-
I cinque pilastri del DORA – Digital Operational Resilience ActL’importanza della resilienza operativa per le organizzazioni ha portato l’Unione Europea alla definizione del Digital Operational Resilience Act (DORA), istituito per rafforzare le strutture delle tecnologie dell’informazione e della comunicazione (ICT) delle aziende del settore finanziario. L’approccio...
-
Il futuro prossimo dell’automazioneLa sempre più rapida evoluzione dei mercati internazionali richiede una chiara identificazione delle principali tendenze che influenzeranno e plasmeranno l’automazione industriale nel 2024 e oltre. Omron condivide sei previsioni per il prossimo futuro. Leggi l’articolo
-
Hyper-light Carbon: il nuovo materiale con cui Prosilas migliora la stampa 3DGli sviluppi più interessanti nell’ambito dell’additive manufacturing riguardano i materiali, che sono gli elementi in grado di conferire caratteristiche uniche ai manufatti: robustezza, leggerezza, qualità superficiale… Con oltre 20 anni di esperienza nel settore della stampa 3D,...
-
ABB Italia vince il premio Assolombarda Awards nella categoria “Responsabilità e Cultura”Lo scorso 14 marzo 2024, ABB Italia ha ottenuto il riconoscimento Assolombarda Awards nella categoria “Responsabilità e Cultura”. Questo premio celebra le aziende che si sono distinte per il loro impegno nell’ambito dell’education, con particolare attenzione alla...
-
La nuova teaching box di Mitsubishi ElectricMitsubishi Electric presenta R86TB, una nuova teaching box ad alte prestazioni per i robot industriali e collaborativi MELFA, progettata per supportare gli utenti, i costruttori di macchine e i system integrator a configurare, programmare ed effettuare la...
-
SDProget Industrial Software celebra il successo del suo Kit ScuolaDa diversi anni, SDProget ha avviato con successo un programma volto a fornire licenze speciali dei suoi prodotti agli istituti tecnici secondari e alle università, con l’obiettivo di supportare la crescita professionale dei giovani. Il raggiungimento dei...
Scopri le novità scelte per te
-
SICK partecipa all’edizione 2024 di SPS Italia con tante novità sulla sensoristica
Soluzioni personalizzate per un futuro su misura. Da qui parte SICK a SPS Italia, la fiera sulla tecnologia...
-
Commend: comunicazioni efficienti a prova di “rumore” e “sicurezza”
Quando il rumore aumenta, le comunicazioni devono essere ancora più chiare. Lo sa bene Commend Italia, specialista in...
Notizie Tutti ▶
-
Metodi per la valutazione dei rischiLa Direttiva Macchine e il Regolamento Macchine che la sostituisce richiedono un’analisi dei rischi...
-
CarePredict e ADI: la potenza dei dati per una qualità di vita migliorePer molte famiglie accogliere i genitori anziani a casa propria per accudirli può risultare...
-
SAP inaugura il suo primo Customer Experience Centre dedicato all’AISAP Labs France, la filiale di SAP dedicata alle attività di ricerca e sviluppo...
Prodotti Tutti ▶
-
La nuova soluzione Emerson di attuatore motorizzato e valvola di arrestoEmerson ha presentato la nuova soluzione di valvola di sicurezza e attuatore motorizzato ASCO Serie...
-
Famiglia di sensori di distanza compatti serie R20x da Pepperl+FuchsLa tendenza alla miniaturizzazione continua crea una domanda di sensori sempre più potenti con...
-
Nuova generazione di unità display IQAN-MD5 da Parker HannifinParker Hannifin sta per trasformare il settore HMI (Human-Machine Interface) con l’ampliamento della serie IQAN-MD5 di...
