Il difetto del software della workstation espone i sistemi di controllo industriale all'hacking

Il software utilizzato per programmare e distribuire il codice su vari controller industriali Schneider Electric presenta un punto debole che potrebbe consentire agli hacker di assumere in remoto postazioni di lavoro di ingegneria.

Il software, noto come Unity Pro, funziona su PC utilizzati dagli ingegneri e include un simulatore per testare il codice prima di distribuirlo a controllori logici programmabili (PLC). Questi sono i dispositivi hardware specializzati che monitorano e controllano i processi meccanici - motori di filatura, valvole di apertura e chiusura, ecc. - all'interno di fabbriche, centrali elettriche, raffinerie di gas, servizi pubblici e altri impianti industriali.

I ricercatori della società di sicurezza informatica Indegy hanno scoperto che gli autori di attacchi non autenticati potevano eseguire codice dannoso su computer Windows su cui è installato il simulatore Unity Pro PLC. Tale codice verrebbe eseguito con i privilegi di debug portando a un completo compromesso del sistema.

Poiché Unity Pro è in genere installato su workstation di ingegneria, un compromesso di tali sistemi fornirebbe agli aggressori la possibilità di riprogrammare i PLC in produzione e interferire con i processi critici. Inoltre, potrebbero fornire loro l'accesso alla proprietà intellettuale come ricette segrete per i prodotti che vengono fabbricati e che possono essere derivati ​​dai programmi legittimi distribuiti ai PLC.

Secondo i ricercatori di Indegy, il simulatore Unity Pro PLC apre un servizio di rete su stazioni di lavoro in ascolto su una porta TCP specifica e consente ai computer remoti di inviare al simulatore un codice di controllo impacchettato in un formato proprietario.

Qualsiasi computer in grado di comunicare con la workstation di progettazione in rete può inviare file .apx che devono essere eseguiti dal simulatore Unity Pro PLC senza autenticazione. Il simulatore supporta formati binari per diversi PLC Schneider Electric, inclusi quelli che utilizzano l'architettura x86.

I ricercatori di Indegy hanno scoperto che possono creare un file .apx che contiene istruzioni x86 dannose e che il software Unity Pro eseguirà in un processo figlio.

Il problema è che questo processo viene eseguito con i privilegi di debug su Windows in modo da poter fare qualsiasi cosa tu voglia alla macchina, ha dichiarato Mille Gandelsman, CTO di Indegy. Uscire da questo processo è banale perché non c'è sandbox o isolamento del codice, ha detto.

A causa della loro posizione privilegiata, le stazioni di lavoro di ingegneria sono quelle che Gandelsman chiama i gioielli della corona delle reti di controllo industriale. Anche se ci sono firewall che separano i PLC dal resto della rete, le stazioni di lavoro di ingegneria saranno sempre autorizzate e saranno in grado di comunicare con loro perché questo è il loro ruolo.

Secondo un avviso di sicurezza di Schneider Electric in merito a questo problema, esiste almeno un fattore limitante: l'attacco funzionerà solo se all'interno del simulatore PLC non è in esecuzione nessun altro programma applicativo o se l'applicazione non è protetta da password.

Per questo motivo, la nuova versione di Unity Pro 11.1 non consentirà l'avvio del simulatore senza un'applicazione associata. Tuttavia, "spetta all'utente selezionare l'applicazione predefinita di Unity PRO che deve essere lanciata dal simulatore e proteggere questo programma applicativo con una password", ha affermato la società nell'avviso.

Schneider Electric non ha immediatamente risposto a una richiesta di commento.

Un altro fattore limitante è che un potenziale aggressore deve già avere accesso a un computer sulla rete in grado di comunicare con la workstation di ingegneria Unity Pro in primo luogo.

L'accesso a un tale computer può essere ottenuto in diversi modi, anche attraverso attacchi di malware, altre vulnerabilità e persino insider dannosi. Tuttavia, questa vulnerabilità evidenzia l'importanza di un'adeguata segmentazione della rete, in cui le risorse di controllo industriale, comprese le postazioni di ingegneria, sono isolate dalla rete IT generale di un'azienda.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.