A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicou quatro alertas sobre sistemas de controle industrial (ICS), avisando o setor de infraestrutura crítica sobre a presença de vulnerabilidades de hardware nos equipamentos Siemens SIMATIC PCS neo Administration Console e nos softwares de engenharia Omron, incluindo o Zip-Slip do Omron Engineering Software e os produtos da série Omron CJ/CS/CP.
VEJA TAMBÉM: Melhores práticas para segurança ICS e OT
Esses avisos oferecem informações sobre problemas de segurança, vulnerabilidades e exploits relacionados aos ICS, e a agência incentiva os usuários e administradores a revisar os novos alertas para detalhes técnicos e medidas de mitigação.
A CISA alertou os proprietários e operadores de ativos em vários setores de infraestrutura crítica sobre a presença de uma vulnerabilidade de 'inserção de informações sensíveis em um arquivo ou diretório acessível externamente' no equipamento Siemens SIMATIC PCS neo Administration Console.
A exploração bem-sucedida dessa vulnerabilidade pode obter credenciais e se passar pelo usuário admin, obtendo assim acesso de admin aos outros sistemas Windows.
A Siemens relata que as versões V4.0 e V4.0 Update 1 do SIMATIC PCS neo (Administration Console) são afetadas:
A aplicação afetada vaza as credenciais de administração do Windows. Um atacante com acesso local à Administration Console pode obter as credenciais e se passar pelo usuário admin, obtendo assim acesso de admin a outros sistemas Windows. A CVE-2023-38558 foi atribuída a essa vulnerabilidade. Um escore base CVSS v3 de 5.5 foi calculado.
A CISA acrescentou que a Siemens lançou o patch de segurança para os produtos afetados e recomenda aos usuários que o instalem. A empresa também identificou soluções alternativas e medidas de mitigação específicas que os clientes podem aplicar para reduzir o risco, e pediu para que a senha das contas do Windows usadas para a implantação remota do AC Agent seja alterada e evite a implantação remota.
Em outro alerta, a CISA fala sobre uma vulnerabilidade de baixa complexidade de ataque no software de engenharia Omron Sysmac Studio e NX-IO Configurator. A agência identificou que a versão 1.54 e anteriores do Sysmac Studio, e a versão 1.22 e anteriores do NX-IO Configurator foram afetadas. A exploração bem-sucedida da vulnerabilidade de travessia de caminho pode permitir a um atacante sobrescrever arquivos em um sistema.
Implantado em setores críticos de manufatura, a CISA disse que:
O DotNetZip.Semvered antes da versão 1.11.0 é vulnerável à travessia de diretórios, o que poderia permitir que atacantes gravassem em arquivos arbitrários via ../ (ponto ponto barra) em uma entrada de arquivo Zip mal administrada durante a extração. Essa vulnerabilidade também é conhecida como 'Zip-Slip'. A CVE-2018-1002205 foi atribuída a essa vulnerabilidade. Um escore base CVSS v3 de 5.5 foi calculado.
A CISA também divulgou que o equipamento Sysmac Studio da Omron contém uma vulnerabilidade de autorização imprópria. As versões afetadas do Sysmac Studio são as versões 1.54 e anteriores. "A exploração bem-sucedida dessa vulnerabilidade pode permitir a um atacante executar código arbitrário", acresCcentou.
Implementado no setor crítico de manufatura, a CISA disse que "as aplicações de engenharia da Omron instalam executáveis com permissões de usuário 'write' de baixo privilégio. Isso poderia permitir a um atacante alterar os arquivos para executar código arbitrário. A CVE-2022-45793 foi atribuída a essa vulnerabilidade. Um escore base CVSS v3 de 5.5 foi calculado", acrescentou.
Para minimizar o risco de exploração de vulnerabilidades, a OMRON recomenda a proteção contra vírus de qualquer PC com acesso ao sistema de controle contra malware e garante a instalação e manutenção de proteções de software antivírus comerciais atualizadas.
Medidas de segurança para prevenir o acesso não autorizado incluem minimizar a conexão de sistemas de controle e equipamentos a redes abertas, para que dispositivos não confiáveis não possam acessá-los; e implementar firewalls, desativando portas de comunicação não utilizadas, limitando hosts de comunicação, etc., e isolando-os da rede de TI. Também sugere o uso de uma rede privada virtual (VPN) para acesso remoto a sistemas de controle e equipamentos, além de senhas fortes e alterá-las frequentemente.
A OMRON também recomenda a instalação de controles físicos para que apenas pessoal autorizado possa acessar sistemas de controle e equipamentos; fazer varreduras de vírus para garantir a segurança de quaisquer unidades USB ou dispositivos semelhantes antes de conectá-los a sistemas e dispositivos, e aplicar autenticação de vários fatores sempre que possível em todos os dispositivos com acesso remoto a sistemas de controle e equipamentos.
Também sugere proteção de entrada e saída de dados por meio de validação de processo, como validação de backup ou verificações de faixa, para lidar com a modificação não intencional de dados de entrada/saída para sistemas de controle e dispositivos, e recuperação de dados usando backup de dados periódicos e manutenção para prevenir perda de dados.
A CISA também revelou a presença de uma vulnerabilidade de 'controle inadequado de frequência de interação' na série Omron CJ/CS/CP PLC (controladores lógicos programáveis), normalmente implantada no setor crítico de manufatura. "A exploração bem-sucedida dessa vulnerabilidade pode permitir a um atacante obter informações sensíveis na memória", acrescentou.
Os PLCs da série Omron CJ/CS/CP afetados são:
Smart Security Manager nas versões 1.5 e anteriores
CJ2H-CPU (-EIP) nas versão 1.4 e anteriores
CJ2M-CPU nas versões 2.0 e anteriores
CS1H/G-CPU H e CJ1G-CPU P nas versões 4.0 e anteriores
CS1D-CPU H e -CPU P nas versões 1.3 e anteriores
CS1D-CPU S nas versões 2.0 e anteriores
CP1E-E e -N nas versões 1.2 e anteriores
A série de controladores lógicos programáveis Omron CJ/CS/CP utiliza o protocolo FINS, que é vulnerável a ataques de força bruta", de acordo com a CISA. Os controladores não impõem nenhum limite de taxa em suposições de senha para regiões de memória protegida por senha. A CVE-2022-45790 foi atribuída a essa vulnerabilidade. Um escore base CVSS v3 de 7.5 foi calculado.
A agência de segurança pediu aos proprietários e operadores de ativos que adotem medidas defensivas para minimizar o risco de exploração dessa vulnerabilidade, reduzindo a exposição à rede para todos os dispositivos e/ou sistemas de controle, garantindo que não sejam acessíveis pela Internet. Também recomenda colocar redes de sistemas de controle e dispositivos remotos atrás de firewalls e isolá-los das redes empresariais. Quando o acesso remoto for necessário, use métodos mais seguros, como VPNs (redes privadas virtuais), reconhecendo que as VPNs podem ter vulnerabilidades e devem ser atualizadas para a versão mais atual disponível.
Benefícios das soluções OPSWAT para a Indústria 4.0
A OPSWAT é líder global em segurança cibernética e oferece soluções de ponta para a proteção de ambientes de TO e TA. Suas soluções abrangentes ajudam a mitigar os riscos de segurança associados à crescente complexidade das ameaças cibernéticas. Aqui estão alguns benefícios das soluções OPSWAT:
Proteção avançada contra malware: Detecção e prevenção de malware altamente eficazes, permitindo a identificação proativa de ameaças em tempo real. O MetaDefender da OPSWAT, utiliza uma abordagem baseada em vários mecanismos de antivírus e antimalware para garantir uma proteção abrangente contra ameaças conhecidas e desconhecidas.
Verificação de integridade de arquivos e dispositivos: As soluções da OPSWAT permitem a verificação da integridade de arquivos e dispositivos antes de serem permitidos nos sistemas de TO e TA. Através da verificação de hashes, assinaturas digitais e outras técnicas avançadas, você pode garantir que apenas arquivos confiáveis e dispositivos autorizados tenham acesso aos sistemas críticos.
Gerenciamento centralizado e conformidade: Facilite o monitoramento e o gerenciamento de segurança em ambientes de TO e TA com recursos como gerenciamento de políticas, distribuição de atualizações de segurança e relatórios abrangentes para garantir a conformidade com regulamentações e padrões de segurança.
Proteção contra ameaças de perímetro: A OPSWAT oferece soluções para proteger os pontos de entrada da rede e os dispositivos de TO e TA contra ameaças de perímetro. Isso inclui recursos como firewall de aplicativos da web (WAF), proteção contra invasões, filtragem de conteúdo e inspeção SSL/TLS para garantir uma proteção abrangente em todas as camadas da infraestrutura de TI.
A cibersegurança é essencial para garantir a integridade, disponibilidade e confidencialidade dos sistemas de TO e TA. Com a crescente sofisticação das ameaças cibernéticas, as soluções da OPSWAT desempenham um papel fundamental na proteção desses ambientes críticos.
Com sua abordagem abrangente e recursos avançados de detecção, prevenção e gerenciamento, a OPSWAT permite que as organizações operem com confiança na Indústria 4.0, mantendo a segurança e a eficiência em sua infraestrutura de TO e TA. Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!