El ataque de seguridad ICS permite el control remoto de edificios

Puede “[m] anar toda su planta central desde una controlador. "

Ese alarde de marketing se refiere a las capacidades del sistema de control enteliBUS de Delta Controls.

También ilustra por qué la conveniencia, al igual que la complejidad, ha sido apodada como enemigos de la seguridad.

La facilidad de uso que ofrecen los sistemas industriales conectados también puede convertirlos en un único punto de falla en un ciberataque, lo que potencialmente le da a un adversario el control sobre los activos industriales y de construcción. Por ejemplo, un pirata informático que se dirija a un sistema de este tipo podría desmantelar la calefacción o refrigeración de un sistema HVAC durante un evento meteorológico extremo. Una vulnerabilidad de seguridad de ICS de este tipo también podría provocar un aumento repentino de la temperatura en una instalación de fabricación o un centro de datos. Los sistemas de control de acceso e iluminación en red también serían un juego justo. Debido a que el administrador enteliBUS y otros productos similares son controladores BACnet programables, los objetivos potenciales de dichos sistemas podrían incluir prácticamente cualquier entorno empresarial o industrial alojado dentro de un edificio. Una publicación de blog de McAfee también señala que dichos sistemas BACnet se utilizan para controlar la sala de presión positiva dentro de un hospital. Esta sala es responsable de evitar que los contaminantes ingresen a los quirófanos.

En el escenario de McAfee MPOWER, Doug McKee, un investigador de seguridad senior de la compañía, mostró el potencial de un exploit de día cero dirigido al sistema enteliBUS en una demostración en vivo. “Una de las cosas que pudimos hacer fue explotar esta vulnerabilidad al 100% de forma remota”, dijo McKee.

[ Mundo de IoT industrial es el evento en el que las empresas aprenden cómo escalar IIoT para la integración, la innovación y las ganancias. Ahorre $ 200 en su pase de conferencia con el código VIP " IOTWORLDTODAY . ”]

Demostración del daño

En una demostración en el escenario, McKee procedió a demostrar lo fácil que es explotar la vulnerabilidad CVE-2019-9569, para la cual hay un parche disponible. Con un centro de datos simulado que fue preparado para el evento, McKee dijo que un atacante que usara el exploit podría controlar bombas, válvulas y ventiladores conectados en red en el sistema HVAC del centro de datos imaginario.

Un resumen que describe la vulnerabilidad de seguridad de ICS en la Base de datos nacional de vulnerabilidades también indica que podría permitir que un pirata informático provoque también un ataque de denegación de servicio. El problema subyacente que hizo posible el ataque relacionado con una inconsistencia en la gestión del tráfico de la red creó un desbordamiento del búfer, un tipo de vulnerabilidad que el gobierno de EE. UU. Documentó en un Estudio de planificación de tecnología de seguridad informática de 1972. Según Wikipedia, el primer caso documentado de un ataque de desbordamiento de búfer que se produjo en la naturaleza fue en 1988.

En la presentación en el escenario de McAfee MPOWER, McKee mostró cómo el malware desarrollado para explotar la vulnerabilidad le permitió activar y desactivar los controles de HVAC y una alarma a través de un shell inverso. Una alarma conectada a un sistema de este tipo podría vincularse a un sistema de gestión de eventos e información de seguridad, o enviar una alerta a un administrador de instalaciones a través de un mensaje SMS o de correo electrónico. "Con algunas pulsaciones de teclas, puedo seguir adelante y activar la alarma", dijo McKee. Al dirigirse a McKee en el escenario, Steve Grobman, director de tecnología de McAfee, dijo:"Conociendo su sentido del humor, probablemente estaría sentado en el estacionamiento, y cuando la persona responsable de [las instalaciones del centro de datos] ingrese, probablemente vuelve a apagar la alarma ".

Pero los piratas informáticos podrían llevar a cabo ataques más astutos que logren más que solo molestar a los trabajadores de mantenimiento y administración de instalaciones. Por ejemplo, para un centro de datos refrigerado por líquido o cualquier instalación con una sala de calderas o un sistema HVAC refrigerado por agua, un atacante podría apagar las bombas en red a voluntad. “Mi HVAC en casa no usa bombas de agua, pero los sistemas industriales sí. Y proporcionan refrigeración crítica para componentes de misión crítica ”, dijo Grobman.

Después de la demostración de la bomba, McKee apagó la compuerta del sistema HVAC para bloquear el flujo de aire, y luego cerró una válvula.

La vulnerabilidad también permitiría a un atacante manipular datos, cambiar las lecturas de temperatura u otras variables.

Acción a distancia

Debido a que el ataque de seguridad ICS se puede explotar a través de Internet, un adversario podría esencialmente llevar a cabo tal explotación en cualquier lugar. Según una publicación del blog de McAfee, hubo 1.600 dispositivos enteliBUS Manager que se mostraron en una búsqueda de agosto en el motor de búsqueda de IoT Shodan.io. Una búsqueda de “eBMGR” el 4 de octubre arrojó casi 500 de estos dispositivos, la mayor parte de ellos en América del Norte. Shodan marcó una parte de esos dispositivos, sin embargo, como honeypots. Varios de los dispositivos eBMGR que se muestran en Shodan tenían instalada la versión 3.40.571848 de firmware, que era la versión vulnerable que McAfee explotó en sus laboratorios. Probablemente, los dispositivos que utilizan firmware anterior también están en riesgo.

McAfee compartió por primera vez su investigación sobre los dispositivos eBMGR con Delta Controls el 7 de diciembre de 2018. Delta Controls respondió a la divulgación de vulnerabilidades de McAfee en cuestión de semanas y, como se mencionó anteriormente, lanzó un parche para abordar esta vulnerabilidad. "Una vez que el parche estuvo listo, nos lo enviaron de vuelta y yo personalmente verifiqué que el 100% soluciona esta vulnerabilidad", dijo McKee.