As marcas registradas do ataque cibernético de 5 de fevereiro contra a instalação de tratamento de água de Oldsmar, na Flórida, provavelmente pintam um quadro típico de ambientes de sistemas de controle industrial em que uma equipe com poucos recursos, pressionada por exigências de disponibilidade e segurança, depende de software legado e soluções inadequadas de acesso remoto para administrar uma entidade responsável por um serviço público vital.
Os operadores da instalação de Oldsmar detectaram duas invasões de fora da fábrica naquele dia, a segunda das quais envolveu um invasor remoto, conectado por meio do software de compartilhamento de desktop TeamViewer, alterando os níveis de hidróxido de sódio na água potável residencial e comercial de 100 partes por milhão para 11.100 partes por milhão. O hidróxido de sódio, ou soda cáustica, é adicionado à água para controlar a acidez e remover determinados metais.
A ação rápida dos operadores para cortar o acesso do invasor, apoiada por proteções inatas aos sistemas de tratamento de água, impediu que a água contaminada chegasse ao público. Mas, por trás desse heroísmo, há problemas sistêmicos em toda a infraestrutura essencial que serão agravados à medida que mais empresas incorporarem a tecnologia operacional (TO) à TI e conectarem mais desses sistemas essenciais on-line.
Na quinta-feira, a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicou um alerta sobre o comprometimento de Oldsmar, chamando a atenção para alguns desses problemas sistêmicos, começando com o uso do TeamViewer pela instalação - e a mesma senha compartilhada para acessar o aplicativo - bem como versões desatualizadas e sem suporte do Windows 7 para gerenciar remotamente o tratamento de água. O Water ISAC também publicou um aviso.
Em um ambiente em que o tempo de inatividade dificilmente é tolerado, não é incomum ver máquinas antigas com Windows 7 e outros softwares desatualizados e sem suporte em execução na produção. Isso é problemático, pois, no caso do Windows 7, por exemplo, a Microsoft encerrou o suporte para o sistema operacional em janeiro de 2020. Os sistemas não receberão mais atualizações de segurança ou de recursos, a menos que estejam em um plano caro de Atualização de Segurança Estendida, que é cobrado por dispositivo e fica mais caro quanto mais tempo o cliente assina.
"Os agentes cibernéticos continuam a encontrar pontos de entrada nos sistemas operacionais Windows antigos e a aproveitar as explorações do Remote Desktop Protocol (RDP)", alertou a CISA em seu alerta. Em 2019, a Microsoft, por exemplo, disponibilizou um patch de emergência para uma falha crítica do RDP que estava sendo explorada na natureza. "Os agentes cibernéticos costumam usar controles de acesso RDP mal configurados ou protegidos de forma inadequada para realizar ataques cibernéticos", acrescentou a CISA.
O uso de versões gratuitas do TeamViewer e de outros aplicativos de suporte e compartilhamento de desktop remoto também não é incomum nesses ambientes. A pandemia da COVID-19 apenas aumentou o risco apresentado por esses aplicativos, à medida que mais forças de trabalho se tornam cada vez mais remotas e a necessidade de acesso de instalações externas aos principais processos se torna necessária.
O TeamViewer fornece aos administradores e operadores acesso fácil e barato às instalações, mas esses aplicativos devem ser configurados com a segurança em mente. Mesmo assim, eles não são adequados para redes OT. Diferentemente das soluções de acesso seguro criadas para fins específicos, esses aplicativos não registram adequadamente as atividades dos usuários, não fornecem recursos de auditoria nem permitem que os administradores monitorem - e desconectem, se necessário - as sessões remotas em tempo real. Em geral, eles também não permitem que os administradores definam diferentes níveis de permissão de usuário, com base em funções, por exemplo. Quando um invasor tem acesso ao aplicativo, como no caso do Oldsmar, ele pode obter controle remoto sobre o sistema de controle ao qual está conectado.
Devido à forma como o TeamViewer é configurado, ele permite conexões remotas a redes que ignoram o Network Address Translation (NAT) e os firewalls. Os terminais que se encontram em duas redes diferentes ainda podem se conectar e permitir que qualquer pessoa com a senha correta se conecte a uma máquina que esteja executando o TeamViewer. Isso contrasta com o Remote Desktop Protocol (RDP) da Microsoft, por exemplo, que exige que ambos os computadores estejam na mesma rede; nesses casos, a usabilidade pode prevalecer sobre a segurança.
O alerta da CISA inclui uma longa lista de atenuações, inclusive uma recomendação para que as empresas industriais operem com versões atuais do Windows, usem autenticação multifator e senhas fortes para proteger as conexões remotas. A auditoria das configurações de rede também é recomendada, assim como a segmentação dos sistemas que não podem ser atualizados.
A CISA também alertou que o uso do TeamViewer e de outros aplicativos semelhantes pode ser usado de forma abusiva não apenas para acesso remoto a processos críticos, mas também para mover-se lateralmente em uma rede, injetar códigos maliciosos, como cavalos de Troia de acesso remoto (RATs), e ofuscar outras atividades maliciosas.
"O uso legítimo do TeamViewer, no entanto, torna a atividade anômala menos suspeita para os usuários finais e administradores de sistemas em comparação com os RATs", diz o alerta.
Além disso, as organizações devem implantar soluções de acesso seguro projetadas para ambientes ICS, que permitam que apenas usuários autorizados criem sessões e que os administradores monitorem e desconectem essas sessões em caso de atividade maliciosa. Também é importante ter um software de detecção de rede que ofereça visibilidade dos ativos em execução em uma rede de TO, incluindo sistemas operacionais e softwares desatualizados, e também quaisquer CVEs associados a esses produtos, permitindo que os administradores tomem medidas.
CWE-345: VERIFICAÇÃO INSUFICIENTE DA AUTENTICIDADE DOS DADOS
Um recurso dos produtos afetados permite que os usuários preparem um arquivo de projeto com um script VBA incorporado e pode ser configurado para ser executado assim que o arquivo de projeto for aberto sem intervenção do usuário. Esse recurso pode ser usado de forma abusiva para induzir um usuário legítimo a executar um código malicioso ao abrir um arquivo de projeto RSP/RSS infectado. Se explorado, um agente de ameaças pode ser capaz de executar um código remoto.
CVSS v3: 7,7
CWE-770: Alocação de recursos sem limites ou estrangulamento
Ao realizar uma geração de tags on-line para dispositivos que se comunicam usando o protocolo ControlLogix, uma máquina intermediária ou um dispositivo que não esteja configurado corretamente pode fornecer uma resposta que leve à alocação irrestrita ou não regulamentada de recursos. Isso poderia causar uma condição de negação de serviço e travar o aplicativo Kepware. Por padrão, essas funções são desativadas, mas permanecem acessíveis aos usuários que reconhecem e exigem suas vantagens.
A PTC recomenda que os usuários adotem uma postura de defesa em profundidade com relação às suas redes de produção, garantindo que o controle de acesso adequado seja mantido. Além disso, a adesão adequada ao Kepware Secure Deployment Guide minimizará essa ameaça por meio da configuração e do uso precisos do produto.
CVSS v3: 5,3
CWE-732: Substituição de arquivos críticos
A vulnerabilidade, se explorada, poderia permitir que um malfeitor lesse e gravasse um projeto do AVEVA Reports for Operations e/ou adulterasse os arquivos de instalação
CVSS v3: 7,8
CWE-22: Passagem de caminho que leva à execução de código arbitrário
A vulnerabilidade, se explorada, pode permitir que um malfeitor execute código arbitrário sob os privilégios de um usuário interativo do AVEVA Reports for Operations.
CVSS v3: 7,8
CWE-420: Canal alternativo desprotegido
Existe uma vulnerabilidade nos produtos afetados que permite que um agente de ameaça contorne determinadas restrições de comunicação entre slots em um chassi 1756. Se explorada em qualquer módulo afetado em um chassi 1756, um agente de ameaças poderia executar comandos de programação e configuração CIP em um controlador Logix no chassi.
Leia o blog de pesquisa da Team82.
CVSS v3: 8,4