SICUREZZA INFORMATICA

Vulnerabilità ICS, cresce il pericolo dell’exploit “da remoto”: come difendersi

Le vulnerabilità nei sistemi per il controllo industriale ICS si diffondono a macchia d’olio e le conseguenze di una loro compromissione potrebbero essere catastrofiche. Ecco perché è importante proteggere i dispositivi ICS esposti a Internet e le connessioni di accesso remoto

04 Set 2020
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder


Secondo un recente studio, oltre il 70% delle vulnerabilità ICS (Industrial Control System, sistemi di controllo industriale) scoperte nella prima metà del 2020 può essere sfruttato remotamente.

Un chiaro segnale che evidenzia l’importanza di proteggere i dispositivi ICS esposti a Internet e le connessioni di accesso remoto.

Il rapporto comprende la valutazione di 365 vulnerabilità ICS pubblicate dal National Vulnerability Database (NVD) e 139 avvisi ICS emessi dall’Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) durante il primo semestre del 2020, che hanno interessato 53 fornitori.

Questi dati, rispetto al primo semestre 2019, rappresentano un aumento delle vulnerabilità riscontrate del 10,3% (331 lo scorso anno), mentre gli avvisi ICS-CERT sono aumentati del 32,4% (105 lo scorso anno).

Secondo il rapporto, oltre il 70% delle vulnerabilità pubblicate dall’NVD può essere sfruttato a distanza, il che rafforza la nozione, già praticamente confermata, che le reti ICS completamente isolate dalle minacce informatiche oramai sono diventate molto rare.

Come se non bastasse, l’impatto potenziale più comune è stata l’esecuzione remota del codice (o Remote Code Execution, RCE), possibile con il 49% delle vulnerabilità, seguita dalla capacità di leggere i dati delle applicazioni (41%), causare Denial of Service (DoS) (39%) e bypassare i meccanismi di protezione (37%).

L’importanza dello sfruttamento a distanza delle vulnerabilità è stata senza dubbio esacerbata dal rapido passaggio globale a una forza lavoro in smart working e dalla maggiore dipendenza dall’accesso remoto alle reti ICS in risposta alla pandemia di Covid-19.

Vulnerabilità ICS: i settori più colpiti

I settori dell’energia, del manifatturiero e delle infrastrutture per l’acqua (idrico) e la gestione delle acque reflue sono stati di gran lunga i più colpiti dalle vulnerabilità pubblicate negli avvisi ICS-CERT durante il primo semestre del 2020.

Delle 385 vulnerabilità (CVE) uniche incluse negli avvisi, l’energia ne ha 236, il settore manifatturiero ne ha 197 e il settore idrico 171.

Rispetto al primo semestre del 2019, l’idrico ha registrato il maggiore aumento di CVE (122,1%), mentre nel manifatturiero l’incidenza è aumentata dell’87,3% e l’energia del 58,9%.

Il team di ricerca dietro lo studio ha da solo scoperto 26 vulnerabilità ICS rivelate durante il primo semestre del 2020, dando priorità alle vulnerabilità critiche o ad alto rischio che potrebbero influenzare la disponibilità, l’affidabilità e la sicurezza delle operazioni industriali.

Il team si è concentrato su fornitori e prodotti ICS con vaste basi di installazione, ruoli integrali nelle operazioni industriali e quelli che utilizzano protocolli in cui i ricercatori hanno una notevole esperienza. Queste 26 vulnerabilità potrebbero avere gravi impatti sulle reti OT interessate, perché oltre il 60% consente una qualche forma di esecuzione remota del codice.

Il pericolo degli attacchi di esecuzione remota del codice (RCE)

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Network Security

L’esecuzione remota del codice può assumere una varietà di forme, ma a livello base quando si fa riferimento all’RCE parliamo del processo con cui un criminal hacker può sfruttare una vulnerabilità di rete per eseguire codice arbitrario su una macchina o un sistema mirato.

Mentre non tutti i casi di esecuzione remota del codice sono dovuti ad attività necessariamente criminali, la decisione di accedere ad una rete utilizzando questo approccio backdoor segnala in genere motivi discutibili.

Secondo questa logica, la maggior parte dei casi di esecuzione di codice arbitrario costituisce un attacco RCE a pieno titolo.

In un attacco di questo tipo, i criminal hacker sfruttano intenzionalmente una vulnerabilità RCE per eseguire malware sul target bersaglio.

Questo può avere conseguenze disastrose per la rete di un MSP (Managed Service Provider): se un aggressore chiede al dispositivo in questione l’esecuzione del codice, può eseguire la propria programmazione al suo posto.

Immaginiamo le conseguenze che questo può avere su un ICS.

La programmazione può consentire al criminal hacker di ottenere un accesso completo, rubare dati, effettuare un attacco DDoS (Distributed Denial of Service), distruggere file e infrastrutture e molto altro.

Come se non bastasse – e come suggerisce il termine – l’esecuzione a distanza di un cyber attack RCE può avvenire da qualsiasi luogo.

Per capire come si possa verificare una violazione così evidente, è importante esaminare le vulnerabilità comuni che possono lasciare determinate reti a rischio di cyber attacco: buffer overflow, deserializzazione e Type confusion.

Vulnerabilità ICS: l’attacco buffer overflow

Una vulnerabilità di buffer overflow si riferisce alla corruzione della memoria che può abilitare un RCE dannoso.

I buffer sono partizioni di memoria sequenziali che possono contenere solo una certa quantità di dati. Quando i programmi non includono misure di controllo dei limiti, l’input può superare la memoria assegnata.

Quando un buffer “trabocca” (overflow), sovrascrive la memoria nei buffer adiacenti. Distribuendo i buffer overflow intenzionalmente si possono distruggere dati utili, causare crash di rete o sostituire la memoria con codice arbitrario che il puntatore di istruzioni (manipolato attraverso un’altra vulnerabilità) esegue in seguito.

Vulnerabilità ICS: la deserializzazione

Una vulnerabilità di deserializzazione si riferisce alla traduzione di dati in un oggetto che può portare accidentalmente all’esecuzione di codice ordinario.

Un oggetto deve essere serializzato – convertito in binario – per viaggiare su una rete.

Per utilizzare questi dati, un programma deve deserializzarli e poi riconvertirli in un oggetto.

Manipolando i dati serializzati, gli aggressori possono produrre oggetti alterati che inducono il programma ad eseguire una programmazione non voluta al momento della deserializzazione.

Vulnerabilità ICS: l’attacco type confusion

La type confusion si riferisce a una vulnerabilità in cui il codice passa un oggetto senza controllarne il tipo.

Questo può portare ad un disallineamento tra l’oggetto e il tipo che dovrebbe essere.

Gli attaccanti possono approfittare di questa vulnerabilità scrivendo nel blocco di memoria di un oggetto con un puntatore di tipo e leggendolo con un altro puntatore di tipo, permettendo loro di eseguire codice arbitrario.

Come approntare una difesa

La diffusione a macchia d’olio delle vulnerabilità ICS deve essere più che un semplice monito: le conseguenze di una compromissione in questi sistemi potrebbe essere catastrofica.

Allora, come approntare una solida difesa?

Il servizio di OT Cyber Framework Check-up di Swascan fornisce questa soluzione. Questo permette di:

  1. valutare il livello del Cyber Security Framework dell’OT technology del cliente;
  2. effettuare la Gap Analysis tra l’as is e gli standard e best practice del settore;
  3. disegnare il nuovo OT Cyber Security Framework in linea con il contesto.

Per farlo passa da sei distinte fasi chiave:

  1. Mapping: questa fase ha la funzione di elencare gli asset aziendali, identificare gli stessi e tutti gli strumenti adibiti alla cyber security aziendale; non solo, vengono determinati gli alert ed Early warning dei Security Asset e infine vengono studiati i processi e le metodologie di gestione. La fase di Mapping permette di determinare il perimetro aziendale, ma anche di valutare e misurare l’efficienza della gestione integrata dei software e strumenti security in essere.
  2. Asses Threats: la seconda fase è incentrata sull’identificare le vulnerabilità a livello tecnologico, organizzativo e procedurale; definirne i livelli di criticità; le probabilità di exploit e infine calcolarne il livello di rischio al netto delle misure di sicurezza.
  3. Security KPI: in questo step vengono definiti i Security KPI; quelli già in uso, quelli da applicare e quelli eventualmente da adottare allo scopo di poter determinare nel tempo se le soluzioni di sicurezza a livello preventivo, proattivo e predittivo risultino essere adeguate agli obiettivi aziendali.
  4. Design: in questa fase viene progettata la proposta di Cyber Security Framework delle isole robotizzate comprese le specifiche tecnologiche e infrastrutturali; i processi e le metodologie di gestione; le policy e le procedure.
  5. GAP Analysis: permette di determinare e confrontare lo stato attuale (AS-IS) del Cyber Security Framework in essere rispetto alle best practice di settore, alle normative vigenti e agli obiettivi stabiliti internamente.
  6. Road Map: si tratta del percorso dettagliato di riposizionamento dell’attuale Framework, una sequenza temporale di azioni e interventi da seguire per ottenere la massima Cyber resilience dal proprio Framework. A corredo della roadmap vengono definiti e pianificati i nuovi standard a livello organizzativo, tecnologico, di Know-how e di Policy e Procedure.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5