WisePlant – A WiseGroup Company
Iniciar sesión

Categoría: Vulnerabilidades

Vulnerabilidades

Seguridad seria: los errores del kernel de Linux que surgieron después de 15 años 1

Seguridad seria: los errores del kernel de Linux que surgieron después de 15 años

marzo 18, 2021 (updated diciembre 16, 2022) Published by

Investigadores de la empresa de ciberseguridad GRIMM publicaron recientemente un interesante trío de errores que encontraron en el kernel de Linux …

… En un código que había estado allí sin llamar la atención durante unos 15 años.

Afortunadamente, parecía que nadie más había mirado el código durante todo ese tiempo, al menos no con la diligencia suficiente para detectar los errores, por lo que ahora están parcheados y los tres CVE que encontraron ahora están corregidos:

  • CVE-2021-27365. Desbordamiento de búfer de pila explotable debido al uso de sprintf().
  • CVE-2021-27363. Pérdida de dirección del kernel debido al puntero utilizado como ID único.
  • CVE-2021-27364. Buffer overread que conduce a la fuga de datos o la denegación de servicio (kernel panic).

Los errores se encontraron en el código del kernel que implementa iSCSI, un componente que implementa la venerable interfaz de datos SCSI a través de la red, por lo que puede hablar con dispositivos SCSI como unidades de cinta y disco que no están conectados directamente a su propia computadora.

Por supuesto, si ya no usa SCSI o iSCSI en ninguna parte de su red, probablemente se esté encogiendo de hombros en este momento y pensando: “No se preocupe por mí, no tengo ninguno de los controladores del kernel iSCSI cargado porque ‘ simplemente no los estoy usando «.

Después de todo, el código del kernel con errores no se puede explotar si solo está en el disco; tiene que cargarse en la memoria y usarse activamente antes de que pueda causar algún problema.

Excepto, por supuesto, que la mayoría (o al menos muchos) de los sistemas Linux no solo vienen con cientos o incluso miles de módulos del kernel en el /lib/modulesárbol de directorios, listos para usar en caso de que alguna vez se necesiten, sino que también vienen configurados para permitir aplicaciones debidamente autorizadas. para activar la carga automática de módulos bajo demanda.

Nota. Hasta donde sabemos, estos errores se corrigieron en los siguientes kernels de Linux mantenidos oficialmente, todos con fecha de 2021-03-07: 5.11.4 , 5.10.21 , 5.4.103 , 4.19.179 , 4.1.4.224 , 4.9 .260 , 4.4.260 . Si tiene un kernel modificado por el proveedor o un kernel de serie no oficial que no está en esta lista, consulte a su fabricante de distribución. Para verificar la versión de su kernel, ejecute uname -ren un símbolo del sistema.

Por ejemplo, mi propio sistema Linux viene con casi 4500 módulos de kernel por si acaso los necesita:

root @ slack: /lib/modules/5.10.23# buscar. -nombre ‘* .ko’
./kernel/arch/x86/crypto/aegis128-aesni.ko
./kernel/arch/x86/crypto/blake2s-x86_64.ko
./kernel/arch/x86/crypto/blowfish-x86_64 .ko
[… 4472 líneas eliminadas …]
./kernel/sound/usb/usx2y/snd-usb-usx2y.ko
./kernel/sound/x86/snd-hdmi-lpe-audio.ko
./kernel /virt/lib/irqbypass.ko
#

Supongo que algún día podría necesitar el módulo de cifrado Blowfish, pero como no tengo ningún software que espero usar, probablemente podría prescindir del blowfish-x86_64.kocontrolador.

Y aunque realmente no me importaría tener una de las geniales tarjetas de sonido Ux2y de Tascam (por ejemplo, US122, US224, US428), realmente no necesito ni espacio para una, así que dudo que alguna vez necesite el snd-usb-usx2y.kocontrolador. ya sea.

Sin embargo, ahí están, y por accidente o por diseño, cualquiera de esos controladores podría terminar cargándose automáticamente, dependiendo del software que utilice, incluso si no estoy ejecutando como usuario root en ese momento.

Vale la pena un segundo vistazo

El riesgo potencial que plantean los controladores no amados, no utilizados y en su mayoría pasados ​​por alto es lo que hizo que GRIMM examinara dos veces los errores mencionados anteriormente.

Los investigadores pudieron encontrar software que un atacante sin privilegios podría ejecutar para activar el código del controlador defectuoso que habían encontrado, y pudieron producir exploits funcionales que podrían de diversas formas:

  • Realice una escalada de privilegios para promover que un usuario regular tenga superpoderes a nivel de kernel.
  • Extraiga las direcciones de la memoria del kernel para facilitar otros ataques que necesiten saber dónde se carga el código del kernel en la memoria.
  • Bloquea el kernel y, por lo tanto, todo el sistema.
  • Leer fragmentos de datos de la memoria del kernel que se suponía que estaban fuera de los límites.

Tan incierto y de alcance tan limitado como suena el último exploit, parece que los datos que un usuario sin privilegios podría ver podrían incluir fragmentos de datos que se transfieren durante los accesos a dispositivos iSCSI genuinos.

Si es así, esto significa, en teoría, que un delincuente con una cuenta sin privilegios en un servidor donde se usaba iSCSI podría ejecutar un programa de apariencia inocente para sentarse en segundo plano, olfateando una selección aleatoria de datos privilegiados de la memoria. .

Incluso un flujo fragmentado y no estructurado de datos confidenciales extraídos intermitentemente de un proceso privilegiado (¿recuerdas el infame error Heartbleed ?) Podría permitir que se escapen secretos peligrosos.

No olvide lo fácil que es para el software de computadora reconocer y «raspar» patrones de datos a medida que pasan volando en la RAM, como números de tarjetas de crédito y direcciones de correo electrónico.

Los errores revisitados

Arriba, mencionamos que el primer error en este conjunto se debió al «uso de sprintf()».

Esa es una función de C que es la abreviatura de impresión formateada en una cadena , y es una forma de imprimir un mensaje de texto en un bloque de memoria para que pueda usarlo más tarde.

Por ejemplo, este código …

char buf [64]; / * Reserva un bloque de bytes de 64 bytes * /
char * str = «42»; / * En realidad tiene 3 bytes, por lo tanto: ‘4’ ‘2’ NUL * /
/ * Cero final agregado automáticamente: 0x34 0x32 0x00 * /
sprintf (buf, «La respuesta es% s», str)

… Dejaría el bloque de memoria que bufcontiene los 12 caracteres » Answer is 42″, seguido de un terminador de cero bytes (ASCII NUL), seguido de 51 bytes sin tocar al final del búfer de 64 bytes.

Sin embargo, sprintf()siempre es peligroso y nunca debe usarse, porque no verifica si hay suficiente espacio en el bloque de memoria final para que quepan los datos impresos.

Arriba, si la cadena almacenada en la variable strtiene más de 54 bytes, incluido el byte cero al final, entonces no encajará bufjunto con el texto adicional » Answer is «.

Peor aún, si los datos de texto strno tienen un byte cero al final, que es como C indica cuándo dejar de copiar una cadena, podría copiar accidentalmente miles o incluso millones de bytes que siguen stren la memoria hasta que simplemente golpee un byte cero, momento en el que es casi seguro que el kernel se haya bloqueado.

El código moderno no debería usar funciones de C que pueden realizar copias de memoria de longitud ilimitada – uso snprintf(), lo que significa formatear e imprimir como máximo N bytes en una cadena, y sus amigos en su lugar.

No des tu dirección

El segundo error anterior surgió por el uso de direcciones de memoria como identificadores únicos.

Eso suena como una buena idea: si necesita indicar un objeto de datos en su código de kernel con un número de identificación que no chocará con ningún otro objeto en su código, puede usar los números 1, 2, 3 y así sucesivamente. , agregando uno cada vez y resuelva el problema.

Pero si desea un identificador único que no entre en conflicto con ningún otro objeto numerado en el kernel, podría pensar, «¿Por qué no usar la dirección de memoria donde está almacenado mi objeto, porque obviamente es único, dado que dos objetos no pueden estar en el mismo lugar en la RAM del kernel al mismo tiempo? » (No, a menos que ya haya una crisis con el uso de la memoria).

El problema es que si su ID de objeto alguna vez es visible fuera del kernel, por ejemplo, para que los programas que no son de confianza en el área de usuario puedan referirse a él, acaba de dar información sobre el diseño interno de la memoria del kernel, y eso no se supone que suceda.

Los núcleos modernos usan lo que se llama KASLR, abreviatura de aleatorización del diseño del espacio de direcciones del núcleo, específicamente para evitar que los usuarios sin privilegios descubran el diseño interno exacto del núcleo.

Si alguna vez ha abierto cerraduras (es un pasatiempo popular y sorprendentemente relajante entre los piratas informáticos y los investigadores de ciberseguridad; incluso puede comprar cerraduras transparentes para divertirse educativamente), sabrá que es mucho más fácil si ya sabe cómo funciona la cerradura. El mecanismo se presenta internamente.

De manera similar, saber exactamente qué se ha cargado en el interior del kernel casi siempre hace que otros errores, como los desbordamientos del búfer, sean mucho más fáciles de explotar.

¿Qué hacer?

  • Actualice su kernel. Si confía en el creador de su distribución para los nuevos núcleos, asegúrese de obtener la última actualización. Consulte más arriba los números de versión en los que se corrigieron estos errores.
  • No utilice funciones de programación en C que se sabe que son problemáticas. Evite cualquier función de acceso a la memoria que no realice un seguimiento de la cantidad máxima de datos a utilizar. Mantenga un registro de las «funciones seguras de cadena de C» documentadas oficialmente para su sistema operativo o entorno de programación elegido y utilícelas siempre que pueda. Esto le da una mejor oportunidad de prevenir sobrecargas de memoria.
  • No utilice direcciones de memoria como identificadores o identificadores «únicos». Si no puede usar un contador que solo aumente en 1 cada vez, use un número aleatorio de al menos 128 bits en su lugar. Estos a veces se conocen como UUID, para identificadores únicos universales. Utilice una fuente aleatoria de alta calidad, como /dev/urandomen Linux y macOS, o BCryptGenRandom()en Windows.
  • Considere bloquear la carga del módulo del kernel para evitar sorpresas. Si configura la variable del sistema Linux una kernel.modules_disable=1vez que su servidor se haya iniciado y esté funcionando correctamente, no se pueden cargar más módulos, ya sea por accidente o por diseño, y esta configuración solo se puede desactivar reiniciando. Utilice sysctl -w kernel.modules_disable=1o echo 1 > /proc/sys/kernel/modules_disable.
  • Considere identificar y conservar solo los módulos del kernel que necesita. Puede construir un kernel estático con solo los módulos requeridos compilados, o crear un paquete de kernel para sus servidores con todos los módulos innecesarios eliminados. Con un kernel estático, puede desactivar la carga de módulos por completo si lo desea.

Fuente: Link

El suministro de alimentos de EEUU no es ciberseguro ni está a salvo de las amenazas a los sistemas de control 2

El suministro de alimentos de EEUU no es ciberseguro ni está a salvo de las amenazas a los sistemas de control

marzo 15, 2021 (updated agosto 11, 2022) Published by

La Administración de Alimentos y Medicamentos de los EE. UU. (FDA) emitió la regla final sobre la Ley de Modernización de la Seguridad Alimentaria (FSMA) en noviembre de 2015 y, según el sitio web de la FDA, todavía está vigente al 21/10/2020. La regla tiene como objetivo prevenir la adulteración intencional de actos destinados a causar daños a gran escala a la salud pública, incluidos los actos de terrorismo dirigidos al suministro de alimentos. 

Intel no pudo corregir una falla de Spectre y Meltdown a pesar de un año de advertencias 4

Intel no pudo corregir una falla de Spectre y Meltdown a pesar de un año de advertencias

diciembre 11, 2019 (updated diciembre 8, 2021) Published by

Los ataques especulativos de ejecución aún persiguen a Intel, mucho después de que los investigadores le dijeron a la compañía cómo solucionar.

En los últimos dos años, ataques como Spectre, Meltdown y variantes de esas técnicas, todos capaces de engañar a una amplia gama de procesadores para que tomen datos confidenciales, han demostrado lo difícil que puede ser proteger un chip. Pero una cosa es que una empresa como Intel se esfuerce por solucionar una vulnerabilidad, y otra muy diferente cuando no actúa en una de esas fallas durante más de un año.

Fuente: Link

PLC Vulnerables a los Ataques de Control de Pin Sigiloso 6

PLC Vulnerables a los Ataques de Control de Pin Sigiloso

septiembre 3, 2019 (updated diciembre 8, 2021) Published by

LONDRES – SOMBRERO NEGRO EUROPA – Los investigadores han descubierto un nuevo método de ataque que podría permitir que los actores maliciosos interrumpan y manipulen los procesos físicos administrados por controladores lógicos programables (PLC) sin ser detectados.

El método de ataque fue detallado el jueves en la conferencia de seguridad Black Hat Europe 2016 por Ali Abbasi, un Ph.D. candidato en el grupo de seguridad de sistemas distribuidos e integrados en la Universidad de Twente en los Países Bajos, y Majid Hashemi, ingeniero de investigación y desarrollo en Quarkslab en Francia.

Los PLC son dispositivos utilizados para controlar y monitorear procesos físicos en entornos industriales. En los últimos años, los expertos en seguridad demostraron en varias ocasiones los riesgos que representan las vulnerabilidades en el software y firmware del PLC , e incluso mostraron cómo los atacantes pueden desarrollar un gusano que se propaga de un PLC a otro.

Sin embargo, Abbasi y Hashemi han ideado un nuevo método de ataque posterior a la explotación que no implica ninguna modificación en el firmware o la lógica del PLC. En cambio, implica manipular la entrada y salida (E / S) del dispositivo a un nivel bajo, lo que permite al atacante controlar el PLC sin activar ninguna alarma.

Un PLC puede recibir y transmitir varios tipos de señales eléctricas y electrónicas. La entrada, que generalmente proviene de sensores, y la salida, que puede usarse para controlar motores, válvulas o relés, están vinculadas a los pines de entrada y salida en un circuito integrado conocido como sistema en chip (SoC). El controlador de pin del SoC puede configurar los modos de un pin (es decir, están configurados para servir como entrada o salida) y configurar la multiplexación de pin, lo que permite el uso de un pin para diferentes propósitos a través de un interruptor.

Los expertos descubrieron que un atacante que ha comprometido el PLC puede alterar la entrada y la salida sin ser detectado y sin alertar a los operadores que monitorean el proceso a través de una interfaz hombre-máquina (HMI).

Abbasi y Hashemi han identificado dos métodos de ataque de control de pin. Uno de ellos, que implica cambiar la configuración del pin, permite que una pieza de malware presente en el PLC cambie un pin de entrada a salida y viceversa. El segundo tipo de ataque, que implica multiplexación, es similar, pero implica cambiar la funcionalidad del mismo pin.

Esto puede hacer que el sistema controlado por el PLC no realice su función prevista (por ejemplo, no abrir una válvula para ajustar la presión). El atacante también puede tomar el control del sistema (por ejemplo, cerrar o abrir arbitrariamente la válvula).

Sin embargo, el sistema operativo del PLC y el usuario no reciben alertas, ya que los valores de los pines de E / S son normales en los registros de E / S virtuales. Otra ventaja de este ataque es que puede evitar los sistemas de detección de intrusos basados ​​en el host, como Autoscopy Jr. y Doppelganger.

El ataque se puede implementar a través de un rootkit, que requiere acceso de root al sistema de destino, pero también se puede llevar a cabo sin acceso de root. En el segundo escenario, en el que el atacante tiene los mismos privilegios que el tiempo de ejecución del PLC, el ataque puede realizarse a través de una vulnerabilidad de ejecución remota de código.

Ambos ataques se pueden usar para causar una condición de denegación de servicio (DoS) y para controlar el proceso físico conectado al PLC. Sin embargo, los expertos señalaron que la variante no raíz es más eficiente, especialmente desde el punto de vista del rendimiento, pero es menos precisa.

“La novedad de nuestras mentiras atacar por el hecho de que al manipular el proceso físico no modificamos las instrucciones de lógica PLC o firmware”, dijeron los investigadores en su papel . “En cambio, apuntamos a la interacción entre el firmware y la E / S del PLC. Esto se puede lograr sin aprovechar las técnicas tradicionales de enganche de funciones y colocando todo el código malicioso en la memoria dinámica (en la versión rootkit del ataque), evitando así los mecanismos de detección como Autoscopy Jr. y Doppelganger. Además, el ataque hace que el firmware del PLC asuma que está interactuando efectivamente con la E / S mientras que, en realidad, la conexión entre la E / S y el proceso del PLC está siendo manipulada «.

Los investigadores no han revelado los nombres de ningún proveedor, pero según el análisis de varias arquitecturas de CPU comúnmente utilizadas en los PLC, creen que la mayoría de ellos están afectados. Los vendedores han sido informados del método de ataque, pero no está claro si planean abordar estos problemas en un futuro próximo, dijeron los investigadores a SecurityWeek en una entrevista.

Abbasi y Hashemi señalaron que los PLC tienen muchas vulnerabilidades que son más fáciles de explotar en comparación con las debilidades que revelaron, especialmente cuando un atacante tiene acceso de root a un dispositivo. Sin embargo, los defectos fáciles de explotar también son más fáciles de abordar, lo que podría llevar a que actores maliciosos recurran a agujeros de seguridad menos obvios en el futuro, como el que encontraron Abbasi y Hashemi.

Los expertos dijeron que su objetivo es crear conciencia y convencer a los proveedores de diseñar productos que sean aún más seguros. Su documento también incluye una serie de recomendaciones sobre cómo se pueden detectar estos tipos de ataques.

Fuente: LINK

La última pesadilla de ciberseguridad del sistema de control: usar transmisores de proceso como Trojan Horses 7

La última pesadilla de ciberseguridad del sistema de control: usar transmisores de proceso como Trojan Horses

mayo 29, 2019 (updated diciembre 8, 2021) Published by

La seguridad de los sistemas de control consiste en proteger las redes de tecnología operativa (OT) y los dispositivos de campo del sistema de control (p. ej., sensores de procesos, actuadores, variadores, etc.). Sin embargo, todavía hay una brecha en la educación y tecnología de seguridad cibernética a nivel de dispositivos de campo. El 28 de mayo de 2019, se hicieron dos anuncios independientes que afectan la seguridad cibernética de la cadena de suministro del sistema de control que, en conjunto, significan una falta de seguridad cibernética, seguridad y resistencia de todas las infraestructuras, incluida la red eléctrica. Los problemas de la cadena de suministro pueden ser subcomponentes dentro del alcance del proveedor del sistema de control o pueden estar fuera del alcance del proveedor.

El primer anuncio fue los riesgos de la cadena de suministro de seguridad cibernética de NERC: informe del personal y acciones recomendadas, expediente No. RM17-13-000. Según NERC, las cadenas de suministro para la tecnología de la información y las comunicaciones y los sistemas de control industrial pueden brindar varias oportunidades para que los adversarios inicien ataques cibernéticos, lo que presenta riesgos para el sistema eléctrico a granel.

El segundo anuncio fue una notificación de transmisores de proceso falsificados de Yokogawa. Los transmisores de proceso miden presión, nivel, flujo, temperatura, etc. Los transmisores de presión y presión diferencial se utilizan en aplicaciones de control de procesos en aplicaciones comerciales, industriales, de fabricación y de defensa, incluidas aplicaciones de seguridad de centrales nucleares y sistemas integrados de seguridad no nuclear (SIS). Los transmisores de proceso son los verdaderos “dispositivos de borde” en un sistema de control, pero generalmente carecen de seguridad cibernética o autenticación. Específicamente, los transmisores Yokowaga se usan ampliamente en todo el mundo, incluso en América del Norte. La primera notificación de Yokogawa sobre transmisores falsificados fue en 2014 y se basó en dispositivos falsificados encontrados fuera de Norteamérica (https://www.yokogawa.com/pr/topics/2014/pr-topics-2014-12-en.htm).

Según Yokogawa, el reciente anuncio está basado en un nuevo informe de productos falsificados en América del Norte. Las falsificaciones afectadas conocidas se limitaron a la serie EJA-110E. Los productos falsificados se adquirieron a través de una cadena de suministro no autorizada y falsificada con la que Yokogawa no tiene ninguna relación comercial. Lo más probable es que las falsificaciones se vendieran con fines de lucro, como vender carteras falsas de Prada por un precio con descuento. Sin embargo, los transmisores falsificados pueden actuar como caballos de Troya para entregar malware detrás de firewalls. Los transmisores falsificados también pueden estar mal configurados, ser inexactos o incapaces de cumplir con los requisitos de diseño (ver figura adjunta).

La última pesadilla de ciberseguridad del sistema de control: usar transmisores de proceso como Trojan Horses 8

Los transmisores falsificados no son un problema exclusivo de Yokogawa. Ha habido numerosos casos en los que se han utilizado transmisores falsificados o del “mercado gris” de otros proveedores, pero no ha habido una notificación formal de otro proveedor de transmisores como con Yokogawa. Sinclair Koelemij de Honeywell respondió a las discusiones de Linked-in sobre el anuncio de Yokogawa con lo siguiente: “Existen muchos otros ejemplos de dispositivos y sensores de campo falsificados, incluso en combinación con certificaciones falsas ATEX (Explosión atmosférica) (la certificación ATEX es un requisito para todas las empresas que fabrican equipos eléctricos que se utilizan en entornos peligrosos y están destinados a ser comercializados en la Unión Europea). La cadena de suministro es crítica para la seguridad OT, esto incluye todos los elementos de un sistema de automatización. No solo desde una perspectiva de riesgo cibernético, el montaje de equipos falsificados en el campo puede provocar accidentes muy graves. En el caso de una certificación ATEX falsa, incluso explosiones masivas ”. Otros proveedores de sistemas de control han recibido llamadas de los clientes sobre el rendimiento del transmisor donde el proveedor no puede conciliar el número de serie del transmisor instalado con los registros del proveedor.

Los transmisores falsificados se convierten en un problema de seguridad nuclear debido a lo que se llama Dedicación de grado comercial, que efectivamente permite el uso de dispositivos de seguridad no calificados en aplicaciones de seguridad nuclear. El término “falsificación” no se usa para la dedicación de grado comercial, pero el término “garantía razonable” se usa como un término general. Los transmisores falsificados ciertamente no pueden proporcionar una garantía razonable del rendimiento esperado. Los transmisores falsificados también son una preocupación importante para las aplicaciones SIS, ya que muchos sistemas de seguridad usan los mismos transmisores que en las aplicaciones básicas de control de procesos.  

No está claro qué tan extendido han llegado estos transmisores falsificados. Los transmisores falsificados pueden ser un mecanismo de falla de causa común que es MUY peligroso. Además, pueden preprogramarse derrotando cualquier programa de seguridad cibernética. En consecuencia, existe la necesidad de tener un programa para identificar dispositivos falsificados antes de que se instalen y después en caso de que pasen por el proceso de detección.

Volviendo a la presentación de la cadena de suministro de NERC, los únicos sensores identificados en la presentación de NERC eran sensores de movimiento para seguridad física. La instrumentación de procesos y los sistemas de seguridad que utilizan transmisores falsificados pueden causar daños cinéticos en múltiples instalaciones, lo que puede ser un problema importante de confiabilidad de la red. Debido a que los transmisores falsificados pueden preprogramarse independientemente de las redes OT (enrutables) Ethernet y, sin embargo, alimentar las redes OT, los transmisores falsificados pueden afectar a los sistemas de alto, medio o bajo impacto NERC. Sin embargo, no existe un programa de seguridad cibernética para abordar transmisores falsificados. Además, los transmisores son instalados por técnicos de instrumentos que generalmente no forman parte de ningún equipo de seguridad cibernética y, por lo tanto, tienen una capacitación mínima o nula en seguridad cibernética.

Parece que los esfuerzos del gobierno y las normas no han abordado adecuadamente la seguridad cibernética de estos dispositivos críticos. Sin embargo, los gobiernos de Rusia e Irán parecen preocuparse por este tema. En el marco de tiempo de 2014, un investigador de seguridad ruso hizo una presentación en la Conferencia de Seguridad Cibernética de ICS sobre la piratería del protocolo de Transductor Remoto Direccionable por Carretera (HART) que son las redes de sensores de proceso de 4-20 miliamperios. En la misma conferencia, un investigador del Instituto de Tecnología de la Fuerza Aérea hizo una presentación sobre un estudio de prueba de concepto sobre sensores de proceso de huellas digitales. Esto fue seguido en 2016 con resultados de huellas digitales de ADN de RF de transmisores WART HART de Emerson, Honeywell, Siemens y Yokogawa (López, J. Leifer, NC, Busho, CR y Temple, MA “

Durante los últimos años, he escrito extensamente sobre la necesidad de monitorear los sensores de proceso a nivel de señal sin procesar en tiempo real. Los sensores de proceso de huellas dactilares, que incluían la serie específica de sensores Yokogawa, deberían poder detectar la diferencia entre los sensores Yokogawa originales (OEM) y falsificados, especialmente porque el sitio web indica que hay una diferencia en la estructura del circuito y los principios de medición (no hubo sensores falsificados en el trabajo de huellas dactilares). Además, los proveedores de monitoreo de redes OT y detección de amenazas comienzan asumiendo que los sensores no están comprometidos, están autenticados y son correctos, lo que puede no ser una suposición correcta. ISA99 está abordando la seguridad cibernética de los sensores de proceso a nivel de política en ISA/IEC62443-4-2.

Sentí que el monitoreo fuera de banda de los sensores podría ayudar con la cadena de suministro antes de leer el anuncio de Yokogawa. Dado el anuncio de Yokogawa y los ataques de Stuxnet y Triton que debían comprometer las pantallas del operador, se necesita una detección fuera de banda en tiempo real lo antes posible.

Ha sido evidente que la seguridad cibernética del sistema de control ha sufrido de brechas culturales / problemas de gobernanza que a menudo condujeron a la falta de seguridad cibernética en los sensores / transmisores de proceso y la falta de ingenieros / técnicos de instrumentos que participan en los equipos de seguridad cibernética. Esto también plantea la pregunta de qué es OT. Si los transmisores no se consideran parte de OT, este NO es un problema de convergencia IT/OT. Si los transmisores se consideran OT, se vuelve crítico que los ingenieros y técnicos de instrumentos formen parte del equipo de seguridad cibernética.

Como se mencionó, según NERC, las cadenas de suministro para los sistemas de control industrial pueden proporcionar varias oportunidades para que los adversarios inicien ataques cibernéticos que afectan el Sistema Eléctrico a Granel. Sin embargo, NERC ha evitado el direccionamiento de dispositivos y redes de campo del sistema de control (los sensores que se encuentran dentro del perímetro de seguridad electrónica los hace fuera de alcance). La ironía es que los sensores de proceso son críticos para la confiabilidad (la “R” en NERC) pero NERC continúa ignorándolos. Esto tiene que cambiar.

No se creía que Stuxnet ni Tritón fueran amenazas hasta que realmente ocurrieron. Lo mismo parece ser el caso con la seguridad cibernética de los sensores de proceso. El sistema de control de ciberseguridad necesita abordar tanto las redes como los dispositivos de campo del sistema de control. Esto incluye personas (con expertos en instrumentación involucrados), procesos (monitoreo de sensores falsificados y certificaciones) y tecnologías (monitoreo de sensores en línea). La conclusión es que si tiene el control de los transmisores, tiene el control del proceso, que debería ser el punto de realizar la seguridad cibernética del sistema de control.

Fuente: LINK

Vulnerabilidades críticas descubiertas en el protocolo industrial popular OPC-UA 9

Vulnerabilidades críticas descubiertas en el protocolo industrial popular OPC-UA

junio 1, 2018 (updated diciembre 8, 2021) Published by

Kaspersky Lab ICS CERT ha analizado el protocolo OPC UA, diseñado para la transferencia segura de datos entre servidores y clientes en sistemas industriales, incluida la infraestructura crítica. El análisis descubrió 17 vulnerabilidades de día cero en la implementación del protocolo, lo que condujo a ataques de amenaza de denegación de servicio, así como a la ejecución remota de código.

Además, se encontraron varios defectos en productos comerciales basados ​​en el protocolo. Todas las vulnerabilidades se informaron a los desarrolladores y se solucionaron a fines de marzo de 2018.

OPC Unified Architecture (OPC-UA) es un protocolo industrial que fue desarrollado y lanzado por la Fundación OPC en 2006 para la transmisión de datos confiable y segura entre varios sistemas en una red industrial. Este protocolo es ampliamente utilizado por los principales proveedores en instalaciones industriales modernas, en las industrias de fabricación, petróleo y gas, productos farmacéuticos y otros. Sus puertas de enlace son instaladas por un número creciente de empresas industriales, para la comunicación en el control automatizado de procesos y telemetría, y sistemas de monitoreo y telecontrol, lo que permite a estas empresas unificar sus procesos de gestión. El protocolo también se utiliza en IIoT y componentes de ciudades inteligentes, que cada vez atraen más la atención de los piratas informáticos.

Los expertos de Kaspersky Lab ICS CERT analizaron la arquitectura OPC-UA y sus productos. Examinaron su código de código abierto (disponible en GitHub), incluido un servidor de muestras, y descubrieron que las implementaciones actuales del protocolo tenían errores de diseño y escritura de código. Estos errores no deberían existir en un software de infraestructura crítica tan extendido. En general, se identificaron 17 vulnerabilidades de día cero en los productos de la Fundación OPC y se informaron a los desarrolladores, quienes las solucionaron en consecuencia.

Además, Kaspersky Lab ICS-CERT analizó software de terceros basado en este protocolo industrial, incluidas las soluciones de los principales proveedores de la industria. En la mayoría de los casos, descubrieron que las fallas fueron causadas por los desarrolladores que no usaban algunas de las funciones de implementación del protocolo correctamente. En otros casos, las vulnerabilidades fueron el resultado de modificaciones incorrectas aplicadas a la infraestructura del protocolo. Por lo tanto, los expertos descubrieron la implementación insegura de funciones en un producto comercial, a pesar del hecho de que la implementación original de la Fundación OPC no incluía errores. Como resultado, tales modificaciones en la lógica del protocolo, hechas por proveedores por razones desconocidas, estaban llevando a una funcionalidad arriesgada.

Todas las vulnerabilidades encontradas en las implementaciones del protocolo OPC-UA podrían ocasionar graves daños a la industria. Por un lado, existía el riesgo de problemas de denegación de servicio (DoS), que podrían presentar serias amenazas para los sistemas industriales al interrumpir o cerrar los procesos industriales. Por otro lado, la ejecución remota de código fue posible, permitiendo a los atacantes enviar cualquier tipo de comandos de servidor para controlar procesos industriales o continuar su intrusión en la red.

“Muy a menudo, los desarrolladores de software confían demasiado en los protocolos industriales e implementan la tecnología en sus soluciones sin someter el código del producto a controles de seguridad. Por lo tanto, las vulnerabilidades en el ejemplo utilizado pueden afectar a líneas de productos completas, por lo que es muy importante que los proveedores presten mucha atención a las tecnologías tan ampliamente disponibles. Además, no deben dejarse engañar por la idea de que pueden diseñar su propio software. Muchos piensan que esto podría ser más eficiente y seguro que el software existente, pero incluso una nueva pieza de software aún puede contener numerosas vulnerabilidades “, dijo Sergey Temnikov, investigador senior de seguridad en el laboratorio ICS-CERT de Kaspersky.

Kaspersky Lab recomienda organizaciones:

• Preste mucha atención a las comprobaciones y pruebas de seguridad como un paso necesario durante el proceso de desarrollo de la aplicación, y no confíe completamente en los protocolos.
• Realizar auditorías y pruebas con bolígrafo para descubrir vulnerabilidades.
• Aislar los procesos de desarrollo de software, por lo tanto, si se piratea una aplicación, los atacantes no podrán acceder a la red.

Lea más sobre esta vulnerabilidad en LINK

Schneider Electric dice que un error de software se explotó en un hack de cuencas hidrográficas 10

Schneider Electric dice que un error de software se explotó en un hack de cuencas hidrográficas

enero 22, 2018 (updated diciembre 8, 2021) Published by

Se ha informado que Schneider Electric SE ha revelado que los piratas informáticos explotaron una falla en su software en un ataque decisivo descubierto el mes pasado que detuvo las operaciones de la planta en una instalación industrial. Chris Wysopal, CTO y cofundador de CA Veracode comentó a continuación.

Noticias que Importan

Entradas recientes

Próximos Eventos

WisePlant Group LLC

WiseCourses Academy

Hable con Expertos

Noticias OTConnect

OTC – Novedades

#consecuencias #consequences #downstream #energy #expectativas #iec62443 #mineria #otc #plugx #threats #wbs #zcm