ATUALIZADO em 14 de dezembro com informações sobre o CVE da CISA.
Os conflitos cinéticos têm sido frequentemente acompanhados por ataques on-line; os hacktivistas, por exemplo, costumam ter interesse em divulgar suas mensagens com motivação política e se associar a um lado ou a outro durante um conflito. A guerra em curso entre Israel e o Hamas não é exceção, com um grupo conhecido como CyberAv3ngers alegando ter se infiltrado em 10 estações de tratamento de água em Israel.
Os líderes de segurança cibernética nos EUA perceberam quando a atividade do grupo se espalhou para uma instalação de água relativamente pequena em Aliquippa, Pensilvânia, que, em 25 de novembro, relatou um ataque disruptivo contra uma de suas estações elevatórias que forçou os funcionários a recorrer a processos manuais para manter o fornecimento seguro de água para seus mais de 6.600 clientes.
As autoridades da Municipal Water Authority of Aliquippa (MWAA) disseram que a segurança pública nunca esteve em risco e que a polícia foi chamada para investigar. Há poucos detalhes sobre a invasão inicial, mas o alvo era um dispositivo PLC/HMI fabricado por uma empresa israelense chamada Unitronics. Várias câmeras de segurança também foram comprometidas durante a invasão, o que também parece ser um cartão de visita da CyberAv3ngers.
Os atacantes deixaram uma mensagem, mostrada abaixo: "Todo equipamento 'Made in Israel' é alvo legal do CyberAv3ngers", que é a primeira vez que o grupo destaca a tecnologia israelense em suas mensagens.
Veja a seguir o que sabemos sobre o ataque à MWAA.
A estação elevatória da MWAA - que são bombas que mantêm a pressão e o fluxo da água no sistema geral - disparou um alarme durante o ataque para as autoridades, que disseram ter desligado imediatamente a estação e iniciado as operações manuais.
"Eles não tiveram acesso a nada em nossa estação de tratamento de água ou a outras partes de nosso sistema, a não ser a uma bomba que regula a pressão em áreas elevadas de nosso sistema", disse o presidente da MWAA, Matthew Mottes, a uma publicação local. "Essa bomba estava em sua própria rede de computadores, separada de nossa rede principal e fisicamente a quilômetros de distância."
O PLC/HMI Unitronics V570 comprometido estava, no mínimo, desfigurado, indicando que os invasores tinham, pelo menos, acesso ao dispositivo. Não está claro se eles podem ter usado esse acesso para danificar ou interferir nas operações, movendo-se lateralmente para outro local da rede.
Houve relatos anteriores de vulnerabilidades exploráveis remotamente no software VisiLogic da Unitronics, um ambiente de desenvolvimento e uma estação de trabalho de engenharia usados para programar, carregar e baixar dados de CLPs. A Unitronics corrigiu esses problemas, e nenhuma exploração pública conhecida estava disponível até o momento.
Em 14 de dezembro, a CISA publicou um comunicado sobre a vulnerabilidade CVE-2023-6448 e o uso de senhas administrativas padrão nos PLCs e IHMs da série Vision da Unitronics. A Unitronics relatou a vulnerabilidade à CISA e recomenda que os usuários atualizem para a versão 9.9.00 do VisiLogic.
A empresa de segurança Forescout também observou a disponibilidade de módulos e scripts do Metasploit para escanear e identificar dispositivos Unitronics. Não se sabe se alguma dessas ferramentas foi usada no ataque contra a MWAA.
Uma pesquisa no Shodan sobre os dispositivos da Unitronics revela cerca de 2.000 que estão voltados para a Internet, incluindo quase 300 dispositivos da série V570. Os PLCs da Unitronics também foram o centro de um ataque disruptivo em Israel, em abril, que afetou o fornecimento de água para uma dúzia de fazendas no Vale do Jordão e os sistemas de controle de tratamento de água de uma empresa de esgoto. O CLP estava voltado para a Internet e era protegido apenas por uma senha padrão que não havia sido alterada pelos administradores, de acordo com um relatório publicado.
De acordo com a documentação da Unitronics, alguns de seus PLCs suportam VNC como uma tecnologia de acesso remoto. O VNC é um aplicativo de compartilhamento de área de trabalho usado para fins de suporte e manutenção de equipamentos remotos. Um invasor poderia, por exemplo, criar uma pesquisa específica no Shodan que identificasse os dispositivos da Unitronics com uma porta VNC aberta e determinar se a autenticação está desativada. Senhas padrão, conhecidas ou fáceis de adivinhar também colocam esses sistemas em risco de ataques de força bruta.
A Cybersecurity Infrastructure and Security Agency (CISA) também publicou um alerta esta semana informando que estava respondendo ao incidente da MWAA juntamente com as autoridades policiais. Ela advertiu que outras instalações podem ser alvo de ataques oportunistas semelhantes, como o incidente da MWAA. A CISA disse em seu alerta que provavelmente foram explorados "pontos fracos da segurança cibernética", como a falta de segurança das senhas e conexões inseguras com a Internet.
A CISA recomenda aos usuários da Unitronics:
Altere a senha padrão (1111) em todos os PLCs e HMIs
Implementar autenticação multifatorial para acesso remoto de redes internas e externas aos sistemas OT
Remover PLCs da Internet
Proteja as conexões remotas com um firewall ou VPN; a autenticação multifator pode ser implantada no firewall ou na VPN, caso o CLP ou a HMI não ofereça suporte a ela
Garantir que os aplicativos PLC e HMI tenham backup e estejam disponíveis
Altere as portas padrão que podem ser direcionadas (20256 para Unitronics e 5900 para VNC)
Garantir que as versões do PLC estejam atualizadas
Os hacktivistas continuarão a injetar e alinhar suas atividades em conflitos militares e políticos, e esses incidentes podem não estar confinados às regiões onde os conflitos cinéticos estão ocorrendo. Até mesmo ataques triviais podem ser perturbadores, e as organizações são instadas a aderir a medidas mínimas de segurança, como segurança de senhas e acesso remoto seguro, para neutralizar esses ataques.
O setor de infraestrutura crítica de água e esgoto identificou, há dois anos, os principais desafios de segurança cibernética que enfrenta, desde recursos humanos e financeiros até inteligência contra ameaças e ferramentas de segurança. Algumas das áreas que precisam ser melhoradas incluem a necessidade de minimizar a exposição dos sistemas de controle à Internet, a identificação e a correção de vulnerabilidades e o acesso remoto seguro aos sistemas de TO.
Isso está de acordo com a orientação do governo federal, incluindo a CISA, de que a higiene básica de segurança é uma linha de base mínima para as organizações nos 16 setores de infraestrutura crítica. O ataque da MWAA também deve reforçar para os líderes de segurança o fato de que qualquer organização corre o risco de sofrer ataques oportunistas em escala, que podem se tornar rapidamente disruptivos.
CWE-345: VERIFICAÇÃO INSUFICIENTE DA AUTENTICIDADE DOS DADOS
Um recurso dos produtos afetados permite que os usuários preparem um arquivo de projeto com um script VBA incorporado e pode ser configurado para ser executado assim que o arquivo de projeto for aberto sem intervenção do usuário. Esse recurso pode ser usado de forma abusiva para induzir um usuário legítimo a executar um código malicioso ao abrir um arquivo de projeto RSP/RSS infectado. Se explorado, um agente de ameaças pode ser capaz de executar um código remoto.
CVSS v3: 7,7
CWE-770: Alocação de recursos sem limites ou estrangulamento
Ao realizar uma geração de tags on-line para dispositivos que se comunicam usando o protocolo ControlLogix, uma máquina intermediária ou um dispositivo que não esteja configurado corretamente pode fornecer uma resposta que leve à alocação irrestrita ou não regulamentada de recursos. Isso poderia causar uma condição de negação de serviço e travar o aplicativo Kepware. Por padrão, essas funções são desativadas, mas permanecem acessíveis aos usuários que reconhecem e exigem suas vantagens.
A PTC recomenda que os usuários adotem uma postura de defesa em profundidade com relação às suas redes de produção, garantindo que o controle de acesso adequado seja mantido. Além disso, a adesão adequada ao Kepware Secure Deployment Guide minimizará essa ameaça por meio da configuração e do uso precisos do produto.
CVSS v3: 5,3
CWE-732: Substituição de arquivos críticos
A vulnerabilidade, se explorada, poderia permitir que um malfeitor lesse e gravasse um projeto do AVEVA Reports for Operations e/ou adulterasse os arquivos de instalação
CVSS v3: 7,8
CWE-22: Passagem de caminho que leva à execução de código arbitrário
A vulnerabilidade, se explorada, pode permitir que um malfeitor execute código arbitrário sob os privilégios de um usuário interativo do AVEVA Reports for Operations.
CVSS v3: 7,8
CWE-420: Canal alternativo desprotegido
Existe uma vulnerabilidade nos produtos afetados que permite que um agente de ameaça contorne determinadas restrições de comunicação entre slots em um chassi 1756. Se explorada em qualquer módulo afetado em um chassi 1756, um agente de ameaças poderia executar comandos de programação e configuração CIP em um controlador Logix no chassi.
Leia o blog de pesquisa da Team82.
CVSS v3: 8,4
