Podatności i luki coraz częściej stanowią tylną furtkę dla cyberprzestępców. Choć borykają się z nimi producenci wielu rozwiązań z rozmaitych obszarów, w niektórych przypadkach stanowią poważny problem. To normalne, że mogą zdarzyć się liderom branży. Źle jednak, jeśli mówimy o kosztownych i kompleksowych rozwiązaniach, którym można naliczyć aż 50 słabych punktów (!). Natomiast jeszcze gorzej że są to wady, które można wykorzystać do interwencji w kluczowe procesy. Na przykład zakłócenia wytwarzania energii elektrycznej w elektrowniach. Takie informacje o podatnościach Siemens SPPA-T3000 trafiły do sieci pod koniec grudnia. Co jeszcze wiemy o możliwych konsekwencjach luk w rozwiązaniach Siemens?

Przemysłowe systemy sterowania nie są wolne od podatności. Niestety, to właśnie one coraz częściej są na celowniku hakerów

SPPA-T3000 i jego zadania

SPPA-T3000 to rozproszony system sterowania (z angielskiego DCS – Distributed Control System) zaprojektowany m.in. dla przemysłu rafineryjnego. Według Siemens ma wspierać swoich klientów kompleksowym podejściem do bezpieczeństwa cybernetycznego. Zadaniem SPPA-T3000 jest identyfikacja i eliminacja luk w zabezpieczeniach – również w odniesieniu do oprogramowania firm trzecich. Jego ochroną obejmowane są m.in. systemy operacyjne, bazy danych, sterowniki sprzętowe PLC.  W broszurze poświęconej temu rozwiązaniu można również przeczytać, że: W przeciwieństwie do niektórych innych systemów sterowania procesami, Siemens zdaje sobie sprawę z zagrożeń dla infrastruktury krytycznej, które wiążą się z silną integracją systemów sterowania z korporacyjnymi sieciami LAN.

Realizując to założenie SPPA-T3000 oferuje dodatkowe funkcje związane z bezpieczeństwem oraz narzędzia do stałego monitorowania zdarzeń złośliwego systemu. Jak dalej pisze producent, zapewnia to niezawodne działanie infrastruktury krytycznej w odpowiedzi na rosnące ryzyko cybernetyczne. Podsumowując, jest to jasny przekaz odnośnie świadomości potrzeby kompleksowych zabezpieczeń w odniesieniu do środowisk przemysłowych. Rozczarowujące jest zatem to, że system, który ma w swoich założeniach zapewnić bezpieczeństwo… sam jest dziurawy. Udane wykorzystanie tych luk może pozwolić atakującemu na wykonanie wielu, bardzo niebezpiecznych operacji.

Zdalny dostęp do serwerów SPPA-T3000 na wyciągnięcie ręki

Już od października 2018 badacze z Kaspersky, Positive Technologies i Biznet Bilişim pracowali nad identyfikacją podatności SPPA-T3000. Ostatecznie wiele z nich jest podobnych, choć mają przypisane różne identyfikatory CVE. Serwer aplikacji SPPA-T3000 jest podatny w 19 aspektach. Z kolei serwer migracji SPAA-T3000 MS3000 ma 35 luk bezpieczeństwa, w tym słabości ocenione jako krytyczne. Oznacza to, że można je wykorzystać do wykonania dowolnego kodu na serwerze. Stwarza to pole do ataków typu odmowa usługi (DoS) . Co więcej, badacze  odkryli również luki w zabezpieczeniach, które można wykorzystać do:

  • uzyskiwania i zmiany haseł użytkowników,
  • uzyskiwania list folderów i plików zawierających poufne informacje,
  • zwiększania uprawnień do rootowania,
  • wyliczania uruchomionych usług Remote Procedure Call,
  • przesyłania dowolne pliki bez uwierzytelniania,
  • odczytywanie i zapisywanie dowolnych plików w lokalnym systemie plików,
  • ścieżki dostępu i nazwy plików na serwerze,
  • ujawnienia nazw użytkowników oraz dostępu do dzienników i plików konfiguracyjnych.
źródło obrazka: Siemens

Według Siemens do wykorzystania luk wymagany jest dostęp do zamkniętych segmentów sieci. O ich odcięciu decyduje prawidłowa konfiguracja systemu, zgodnie z zaleceniami w instrukcji. Eksperci potwierdzili, że uzyskanie dostępu tamże zazwyczaj nie jest łatwym zadaniem. Co więcej, klienci rozwiązań SPPA-T3000 otrzymali zalecenia odnośnie wdrożenia szeregu działań zapobiegających potencjalnym atakom. Idąc dalej, Siemens twierdzi, że nie ma żadnych dowodów sugerujących wykorzystanie którejkolwiek z podatności. Eksperci bezpieczeństwa twierdzą natomiast, że nie jest to tak oczywiste. Od momentu pojawienia się na rynku do publikacji aktualizacji łatającej minęło dość czasu, aby skorzystać z nierozważnie stworzonych tylnych furtek.

Aktualizacje są, problem rozwiązany?

Zarówno producent jak i badacze, którzy odkryli luki, są zgodni co do braku informacji o jawnym wykorzystaniu ich przez cyberprzestępców. Mimo że niektóre z odkrytych podatności są łatwe do wykorzystania, inne wymagają obszernej wiedzy na temat docelowego systemu. Według zespołu Kaspersky, ataki wpływające na bezpieczeństwo lub prowadzące do przerw w dostawie prądu wymagają bardziej zaawansowanej wiedzy o systemie docelowym. W świetle tych informacji a także ze względu na dostępne patche, można uznać problem za rozwiązany. Jest to jednak zapominanie o tym, że współcześni hakerzy działają inaczej niż jeszcze kilka, kilkanaście lat temu.

Planując atak na elektrownię czy inny obiekt takiego kalibru, zorganizowana grupa cyberprzestępców przygotowuje się przez dłuższy czas. Naiwnością byłoby stwierdzenie, że z impetem zaatakują najbardziej odsłoniętą część systemu i ujawnią swoje działania. Hakerzy wykorzystują wiele technik i podejść, choćby na przykład opisywany tutaj ruch boczny. Podobnie, wiele ze znanych współcześnie zagrożeń APT funkcjonuje w sieci od lat, dostosowując swoje możliwości do zmieniających się realiów internetu. Każda z podatności, jaka kiedykolwiek została wykryta przez badaczy bezpieczeństwa, mogła zostać wcześniej znaleziona przez kogoś o mniej szlachetnych intencjach. Aktualizacja zgodnie z rekomendacją producenta niewiele może pomóc, jeśli do sieci zdążył dostać się ktoś trzeci.

Przez wiele lat założeniom projektowym sieci przemysłowych towarzyszyło przekonanie o konieczności izolacji. Nie zakładano, aby wyjście na świat w rozumieniu współczesnego internetu było konieczne. Dzięki temu nawet w przypadku błędów projektowych i implementacyjnych, rozwiązania przemysłowe pozostawały odporne na działania intruzów z zewnątrz. Dostęp z zewnątrz do zamkniętej sieci przemysłowej bywał praktycznie niemożliwy, ale dziś obserwujemy odwrotną sytuację. Nie dość, że dostęp do infrastruktury przemysłowej jest ułatwiony to jeszcze  cyberprzestepcy dysponują coraz bardziej zaawansowanymi technikami włamań. Podatności, które pozwalają na zdalne uruchamianie komend, jak w przypadku SPPA-T3000 to dodatkowy prezent dla czyhających na bezpieczeństwo ICS.

Podatności to klucz, dzięki któremu cyberprzestępcy dostają się do sieci ofiary. Następnie ukrywają swoją obecność, zbierając informacje o słabych punktach i przygotowując atak.

Oczekiwanie w ukryciu

Dobrze, że w odpowiedzi na informację o podatnościach, producent wypuścił aktualizację. Bieżące patchowanie to jeden ze sposobów na podtrzymanie ochrony sieci. Warto mieć na uwadze to, że w przypadku systemów przemysłowych ryzyko wzrasta kilkukrotnie w porównaniu do „zwykłych”. Jak pokazuje przykład luk w SPPA-T3000 cyberprzestępcy mogli z łatwością wykonać operacje mające wpływ na kluczowe procesy obiektu. Wyeliminowanie podatności za pomocą przygotowanych aktualizacji odcina dostęp dla przyszłych atakujących. Należy mieć jednak na uwadze, że nie jest to całkowite rozwiązanie problemu, ponieważ nie pozwala na wykrycie intruzów będących już w sieci.

Dobrą praktyką jest posiadanie kontroli nad dostępem uprzywilejowanym. W ten sposób możliwe będzie szybka reakcja na wypadek gdyby ze wspomnianych luk skorzystali hakerzy. Obecnie coraz częściej cyberprzestępcy ukrywają swoją obecność w sieci ofiary, gromadząc jak najwięcej informacji. Podatności, wykryte w rozwiązaniu Siemens nie muszą zostać wykorzystane już teraz. Oby nie posłużyły do niepostrzeżonego wtargnięcia cyberprzestępców i  przygotowania wyrafinowanych ataków w późniejszym czasie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *