LONDRES – SOMBRERO NEGRO EUROPA – Los investigadores han descubierto un nuevo método de ataque que podría permitir que los actores maliciosos interrumpan y manipulen los procesos físicos administrados por controladores lógicos programables (PLC) sin ser detectados.
El método de ataque fue detallado el jueves en la conferencia de seguridad Black Hat Europe 2016 por Ali Abbasi, un Ph.D. candidato en el grupo de seguridad de sistemas distribuidos e integrados en la Universidad de Twente en los Países Bajos, y Majid Hashemi, ingeniero de investigación y desarrollo en Quarkslab en Francia.
Los PLC son dispositivos utilizados para controlar y monitorear procesos físicos en entornos industriales. En los últimos años, los expertos en seguridad demostraron en varias ocasiones los riesgos que representan las vulnerabilidades en el software y firmware del PLC , e incluso mostraron cómo los atacantes pueden desarrollar un gusano que se propaga de un PLC a otro.
Sin embargo, Abbasi y Hashemi han ideado un nuevo método de ataque posterior a la explotación que no implica ninguna modificación en el firmware o la lógica del PLC. En cambio, implica manipular la entrada y salida (E / S) del dispositivo a un nivel bajo, lo que permite al atacante controlar el PLC sin activar ninguna alarma.
Un PLC puede recibir y transmitir varios tipos de señales eléctricas y electrónicas. La entrada, que generalmente proviene de sensores, y la salida, que puede usarse para controlar motores, válvulas o relés, están vinculadas a los pines de entrada y salida en un circuito integrado conocido como sistema en chip (SoC). El controlador de pin del SoC puede configurar los modos de un pin (es decir, están configurados para servir como entrada o salida) y configurar la multiplexación de pin, lo que permite el uso de un pin para diferentes propósitos a través de un interruptor.
Los expertos descubrieron que un atacante que ha comprometido el PLC puede alterar la entrada y la salida sin ser detectado y sin alertar a los operadores que monitorean el proceso a través de una interfaz hombre-máquina (HMI).
Abbasi y Hashemi han identificado dos métodos de ataque de control de pin. Uno de ellos, que implica cambiar la configuración del pin, permite que una pieza de malware presente en el PLC cambie un pin de entrada a salida y viceversa. El segundo tipo de ataque, que implica multiplexación, es similar, pero implica cambiar la funcionalidad del mismo pin.
Esto puede hacer que el sistema controlado por el PLC no realice su función prevista (por ejemplo, no abrir una válvula para ajustar la presión). El atacante también puede tomar el control del sistema (por ejemplo, cerrar o abrir arbitrariamente la válvula).
Sin embargo, el sistema operativo del PLC y el usuario no reciben alertas, ya que los valores de los pines de E / S son normales en los registros de E / S virtuales. Otra ventaja de este ataque es que puede evitar los sistemas de detección de intrusos basados en el host, como Autoscopy Jr. y Doppelganger.
El ataque se puede implementar a través de un rootkit, que requiere acceso de root al sistema de destino, pero también se puede llevar a cabo sin acceso de root. En el segundo escenario, en el que el atacante tiene los mismos privilegios que el tiempo de ejecución del PLC, el ataque puede realizarse a través de una vulnerabilidad de ejecución remota de código.
Ambos ataques se pueden usar para causar una condición de denegación de servicio (DoS) y para controlar el proceso físico conectado al PLC. Sin embargo, los expertos señalaron que la variante no raíz es más eficiente, especialmente desde el punto de vista del rendimiento, pero es menos precisa.
“La novedad de nuestras mentiras atacar por el hecho de que al manipular el proceso físico no modificamos las instrucciones de lógica PLC o firmware”, dijeron los investigadores en su papel . “En cambio, apuntamos a la interacción entre el firmware y la E / S del PLC. Esto se puede lograr sin aprovechar las técnicas tradicionales de enganche de funciones y colocando todo el código malicioso en la memoria dinámica (en la versión rootkit del ataque), evitando así los mecanismos de detección como Autoscopy Jr. y Doppelganger. Además, el ataque hace que el firmware del PLC asuma que está interactuando efectivamente con la E / S mientras que, en realidad, la conexión entre la E / S y el proceso del PLC está siendo manipulada «.
Los investigadores no han revelado los nombres de ningún proveedor, pero según el análisis de varias arquitecturas de CPU comúnmente utilizadas en los PLC, creen que la mayoría de ellos están afectados. Los vendedores han sido informados del método de ataque, pero no está claro si planean abordar estos problemas en un futuro próximo, dijeron los investigadores a SecurityWeek en una entrevista.
Abbasi y Hashemi señalaron que los PLC tienen muchas vulnerabilidades que son más fáciles de explotar en comparación con las debilidades que revelaron, especialmente cuando un atacante tiene acceso de root a un dispositivo. Sin embargo, los defectos fáciles de explotar también son más fáciles de abordar, lo que podría llevar a que actores maliciosos recurran a agujeros de seguridad menos obvios en el futuro, como el que encontraron Abbasi y Hashemi.
Los expertos dijeron que su objetivo es crear conciencia y convencer a los proveedores de diseñar productos que sean aún más seguros. Su documento también incluye una serie de recomendaciones sobre cómo se pueden detectar estos tipos de ataques.
Fuente: LINK
Get Involved & Participate!
Comments