Riesgos y vulnerabilidades de las soluciones IoT industriales
Un mayor uso de puertas de enlace expone los dispositivos a los atacantes y aumenta la superficie de ataque de las redes OT.
Es común que los equipos de tecnología operativa (OT) conecten sistemas de control industrial (ICS) a centros de monitorización y control remoto a través de soluciones inalámbricas y teléfonos que a veces vienen con interfaces de administraciones basadas en la nube y gestionadas por proveedores. Estas soluciones de conectividad, también conocidas como dispositivos IoT inalámbricos industriales, aumentan las superficies de ataque de las redes OT y pueden proporcionar a los atacantes un acceso directo a segmentos de red que contienen controladores críticos.
La compañía Otorio ha publicado un informe que destaca los vectores de ataque a los que estos dispositivos son susceptibles junto con las vulnerabilidades que los investigadores encontraron en varios de estos productos: “Estos dispositivos y sus plataformas de administración basadas en la nube son objetivos atractivos para los atacantes que buscan un punto de apoyo inicial en entornos industriales”, dice el informe. “Esto se debe a los requisitos mínimos para la explotación y el impacto potencial”.
Un cambio en la arquitectura de red tradicional en OT
La seguridad OT ha seguido tradicionalmente el modelo Purdue Enterprise Reference Architecture (PERA) para decidir dónde colocar capas sólidas de control de acceso y hacer segmentación. Este modelo, que data de la década de los 90, divide las redes empresariales de TI y OT en seis niveles funcionales.
El nivel 0 es el equipo que influye directamente en los procesos físicos e incluye elementos como válvulas, motores y sensores. El nivel 1 o la capa de control básico tiene controladores logísticos programables y unidades terminales remotas que controlan esos sensores y válvulas y actúan en función de los programas que les cargan los ingenieros.
El nivel 2, de supervisión, incluye sistemas SCADA que recopilan y actúan sobre los datos recibidos en la capa 1. El nivel 3 cuenta con sistemas que respaldan directamente las operaciones de una planta, como servidores de bases de datos, de aplicaciones, interfaces humano-máquina y estaciones de trabajo de ingeniería. Por lo general, esto se denomina Centro de Control y está conectado a la red empresarial de TI general, que es el nivel 4 a través de una zona desmilitarizada (DMZ). Es en esta DMZ donde las organizaciones han centrado sus esfuerzos de seguridad perimetral para tener una fuerte segmentación entre las partes de TI y OT de sus redes.
Sin embargo, algunas compañías pueden tener instalaciones industriales remotas que necesitan conectarse a sus centros. Esto es más común en industrias como el gas y el petróleo, donde los operadores tienen múltiples yacimientos y pozos de explotación en diferentes ubicaciones. Estos enlaces a menudos son proporcionados por puntos de acceso WiFI industriales.
Estos dispositivos de IoT inalámbricos industriales pueden comunicarse con dispositivos de campo a través de múltiples protocolos, como Modbus y DNP3, y luego volver a conectarse al centro de control de la organización a través de Internet mediante varios mecanismos de comunicación seguros como VPN. Muchos fabricantes de dispositivos también brindan interfaces de administración basadas en la nube para que los propietarios de activos industriales administren sus dispositivos de forma remota.
Vulnerabilidades
Estos, como cualquier otro dispositivo conectado a Internet, aumentan la superficie de ataque de las redes OT y debilitan los controles de seguridad establecidos tradicionalmente por las organizaciones, lo que ofrece un bypass para los atacantes en los niveles más bajos de las redes OT. "Utilizando motores de búsqueda como Shodan, hemos observado una exposición generalizada de puertas de enlace y enrutadores celulares industriales, haciéndolos fácilmente detectables y potencialmente vulnerables a la explotación por parte de actores de amenazas", dijeron los investigadores de Otorio en su informe.
Los investigadores afirman que encontraron 24 vulnerabilidades en las interfaces basadas en la web de los dispositivos de tres de estos proveedores (Sierra, InHand y ETIC) y lograron lograr la ejecución remota de código en los tres.
Resulta que el filtrado implementado por Sierra para abordar CVE-2018-4061 no cubrió todos los escenarios de explotación y los investigadores de Otorio pudieron evitarlo. En CVE-2018-4061, los atacantes podían adjuntar comandos de shell adicionales al comando tcpdump ejecutado por el script ACEManager iplogging.cgi usando el indicador -z. Este indicador es compatible con la utilidad tcpdump de la línea de comandos y se utiliza para pasar los llamados comandos posteriores a la rotación. Sierra lo arregló aplicando un filtro que elimina cualquier indicador -z del comando pasado a la secuencia de comandos de iplogging si va seguido de un espacio, una pestaña, un feed de formulario o una pestaña vertical después, lo que bloquearía, por ejemplo, "tcpdump -z reboot ".
Lo que se perdieron según Otorio es que el indicador -z no requiere ninguno de esos caracteres después y un comando como "tcpdump -zreboot", se ejecutaría bien y evitaría el filtrado. Este bypass por sí solo limitaría a los atacantes a ejecutar archivos binarios que ya existen en el dispositivo, por lo que los investigadores desarrollaron una forma de ocultar su carga útil en un archivo PCAP (captura de paquetes) cargado en el dispositivo a través de otra función de ACEManager llamada iplogging_upload.cgi. Este archivo PCAP diseñado específicamente también puede comportarse como un script de shell cuando lo analiza sh (el intérprete de shell) y su análisis y ejecución pueden desencadenarse mediante el uso de la vulnerabilidad -z en iplogging.cgi.
Riesgos de gestión de la nube
Incluso si estos dispositivos no exponen sus interfaces de administración basadas en la web directamente a Internet, lo cual no es una práctica de implementación segura, no serían completamente inaccesibles para los atacantes remotos. Esto se debe a que la mayoría de los proveedores brindan plataformas de administración basadas en la nube que permiten a los propietarios de dispositivos realizar cambios de configuración, actualizaciones de firmware, reinicios de dispositivos, túneles de tráfico a través de los dispositivos y más.
"Al apuntar a una plataforma de administración basada en la nube de un solo proveedor, un atacante remoto puede exponer miles de dispositivos ubicados en diferentes redes y sectores", dijeron los investigadores. "La superficie de ataque sobre la plataforma de administración de la nube es amplia. Incluye la explotación de la aplicación web (interfaz de usuario de la nube), el abuso de los protocolos M2M, las políticas de control de acceso débiles o el abuso de un proceso de registro débil".
Los investigadores ejemplifican estos riesgos con una cadena de tres vulnerabilidades que encontraron en la plataforma en la nube "Administrador de dispositivos" de InHand Networks y el firmware de sus dispositivos InRouter que podrían haber resultado en la ejecución remota de código con privilegios de raíz en todos los dispositivos InRouter administrados en la nube.
Primero, observaron la forma en que los dispositivos se comunican con la plataforma a través de MQTT y la forma en que se logra la autenticación o "registro", y descubrieron que el registro utiliza valores insuficientemente aleatorios y puede ser forzado. En otras palabras, dos de las vulnerabilidades permitieron a los investigadores obligar a un enrutador a proporcionar su archivo de configuración al hacerse pasar por una conexión autenticada y escribir tareas en el enrutador, como cambiar su nombre de host.
La tercera vulnerabilidad estaba en la forma en que el enrutador analizaba los archivos de configuración a través de MQTT, particularmente en la función utilizada para analizar los parámetros de una característica llamada auto_ping. Los investigadores descubrieron que podían habilitar auto_ping y luego concatenar una línea de comando de shell inverso a la función auto_ping_dst y esto se ejecutaría con privilegios de root en el dispositivo.
Ataques inalámbricos en redes OT
Además de los vectores de ataque remotos disponibles a través de Internet, estos dispositivos también exponen las señales Wi-Fi y celulares localmente, por lo que cualquier ataque a través de estas tecnologías podría usarse en su contra. "Diferentes tipos de ataques locales pueden ser usados ??contra Wi-Fi y canales de comunicación celular, desde ataques a encriptaciones débiles como WEP y ataques de degradación al vulnerable GPRS, hasta vulnerabilidades complejas de conjuntos de chips que pueden tomar tiempo para parchear". dijeron los investigadores.
Si bien los investigadores no investigaron las vulnerabilidades de los módems de banda base celular o Wi-Fi, realizaron un reconocimiento utilizando WiGLE, un servicio de mapeo de redes inalámbricas públicas que recopila información sobre puntos de acceso inalámbricos en todo el mundo. "Aprovechando las opciones de filtrado avanzadas, escribimos un script de Python que busca entornos industriales o de infraestructura crítica potencialmente de alto valor, destacando los configurados con un cifrado débil", dijeron los investigadores. "Nuestro escaneo descubrió miles de dispositivos inalámbricos relacionados con infraestructura industrial y crítica, con cientos configurados con encriptaciones débiles conocidas públicamente".
Usando esta técnica, los investigadores lograron encontrar dispositivos con cifrado inalámbrico débil implementados en el mundo real en plantas de fabricación, campos petroleros, subestaciones eléctricas e instalaciones de tratamiento de agua. Los atacantes podrían usar dicho reconocimiento para identificar dispositivos débiles y luego viajar al sitio para explotarlos.
Mitigación de las vulnerabilidades de los dispositivos IoT inalámbricos
Si bien parchear las vulnerabilidades en dichos dispositivos cuando se encuentran es de vital importancia debido a su posición privilegiada en las redes OT y al acceso directo a los controladores críticos, se deben tomar medidas preventivas adicionales para mitigar los riesgos. Los investigadores de Otorio tienen las siguientes recomendaciones:
- Deshabilite y evite cualquier encriptación insegura (WEP, WAP) y, cuando sea posible, no permita protocolos heredados como GPRS.
- Oculte los nombres de sus redes (SSID).
- Use listas blancas basadas en MAC o use certificados para dispositivos conectados.
- Los servicios de administración de validación se limitan solo a la interfaz LAN o están incluidos en la lista blanca de IP.
- Asegúrese de que no se estén utilizando credenciales predeterminadas.
- Esté alerta sobre nuevas actualizaciones de seguridad para sus dispositivos.
- Verifique que estos servicios estén deshabilitados si no se usan (habilitados de forma predeterminada en muchos casos).
- Implemente soluciones de seguridad por separado (VPN, firewalls), tratando el tráfico del IIoT como no confiable.
