Panorama delle minacce IT nell’ambito della sicurezza informatica industriale

 Download ICS availability statistics (PDF version)

 Download ICS vulnerabilities statistics (PDF version)

Il quadro della situazione

I sistemi di controllo industriali, o ICS (Industrial Control Systems), sono ormai dappertutto, intorno a noi; essi vengono utilizzati in numerosi settori: distribuzione di energia elettrica, utility dell’acqua, acque reflue, petrolio e gas naturale, trasporti, chimica, farmaceutica, cellulosa e carta, prodotti alimentari e bevande, produzione discreta (es. settore automobilistico, industria aerospaziale, beni durevoli). Città intelligenti, case ed auto intelligenti, apparecchiature mediche: tutto quanto viene azionato e gestito mediante l’utilizzo di appositi ICS.

L’enorme espansione di Internet, tuttavia, rende gli ICS prede più facili per i cyber criminali. Il numero di componenti ICS accessibili tramite Internet aumenta di anno in anno. Considerando che molte soluzioni e numerosi protocolli ICS sono stati progettati, inizialmente, per ambienti isolati, appare subito evidente come un simile livello di accessibilità possa fornire, spesso, ai malintenzionati, molteplici opportunità per colpire le infrastrutture gestite attraverso gli ICS, a causa della mancanza di opportuni controlli di sicurezza. Alcuni componenti, inoltre, risultano intrinsecamente vulnerabili. Le prime informazioni disponibili riguardo alla presenza di vulnerabilità nei componenti ICS risalgono al 1997, anno in cui, tuttavia, ne furono rese di pubbliche solamente due. Da allora, il numero delle vulnerabilità via via rilevate è aumentato in maniera significativa. Basti pensare che, nel corso degli ultimi cinque anni, il valore di tale importante indice è passato dalle 19 vulnerabilità individuate nel 2010 alle 189 vulnerabilità riscontrate nell’anno 2015.

I sofisticati attacchi informatici condotti nei confronti dei sistemi ICS non costituiscono più, ormai, un elemento di particolare novità. Vale di sicuro la pena ricordare, ad ogni caso, il clamoroso incidente del 2015 ad Ivano-Frankivsk, in Ucraina, dove circa la metà delle abitazioni fu lasciata senza fornitura di energia elettrica, proprio a causa di un cyber-attacco lanciato contro la società Prykarpattyaoblenergo, operante nel settore dell’energia; e si tratta, nella circostanza, soltanto di una delle molteplici vittime della famigerata campagna APT BlackEnergy.

Un altro incidente di particolare rilievo, avvenuto nel 2015, e descritto nel Data Breach Digest di Verizon, è rappresentato dall’attacco eseguito a danno delle infrastrutture ICS della società Kemuri Water Company; in questo caso, gli aggressori si sono infiltrati in un sistema di controllo di tale utility dell’acqua e hanno modificato i livelli relativi alle sostanze chimiche utilizzate per il trattamento dell’acqua potabile. La cyber-intrusione è stata compiuta attraverso un sistema vulnerabile, accessibile dall’esterno, che gestiva i controllori logici programmabili (PLC) preposti alla regolazione delle valvole e delle condutture adibite al controllo del flusso dell’acqua e delle sostanze chimiche utilizzate per il trattamento idrico, effettuato mediante l’impiego del sistema in questione.

Sempre nel 2015, si sono registrati ulteriori incidenti informatici correlati agli ICS; ricordiamo, a tal proposito, l’attacco condotto nei confronti di un’acciaieria, situata in Germania, e l’attacco eseguito presso l’aeroporto Frederic Chopin di Varsavia.

È nostro intento fornire, attraverso la presente ricerca, una breve panoramica dell’attuale situazione della sicurezza ICS su scala mondiale, sia dal punto di vista delle vulnerabilità individuate, sia per quel che riguarda i componenti ICS vulnerabili “esposti” ad Internet.

Tipo di Approccio utilizzato per l’Analisi

La nostra ricerca si focalizza su due aree ben specifiche: Vulnerabilità ed Accessibilità dei sistemi ICS attraverso Internet. La raccolta delle informazioni inerenti alle vulnerabilità è stata eseguita sulla base di fonti pubblicamente accessibili, quali le comunicazioni e gli avvisi emessi dall’Industrial Control Systems Cyber Emergency Response Team (ICS-CERT); NVD/CVE, SCADA StrangeLove, Siemens ProductCERT; nell’occasione, sono state ugualmente raccolte altre informazioni disponibili online. I vari livelli di criticità e gravità delle vulnerabilità ICS via via individuate sono stati determinati in base al Common Vulnerability Scoring System (CVSS), versioni 2 e 3. Il sistema CVSS v2 è stato utilizzato per effettuare un debito confronto, per quel che riguarda i dati statistici relativi alle vulnerabilità in questione, tra gli anni 2014 e 2015; esso è stato ugualmente impiegato per tutte le vulnerabilità prive di punteggio CVSS v3.

Nella seconda parte del report da noi stilato, dedicata ai risultati ottenuti grazie alla specifica ricerca condotta (Accessibilità dei sistemi ICS attraverso Internet), abbiamo poi utilizzato un tipo di approccio passivo, per effettuare le necessarie analisi, basato sulle informazioni ricavate dal noto motore di ricerca Shodan. Per individuare i sistemi ICS nell’ambito delle ricerche eseguite su Shodan, abbiamo poi utilizzato una speciale knowledge base di fingerprint, contenente circa 2.000 record, la quale ci ha permesso di identificare, tramite banner, i vendor e le versioni dei prodotti.

Principali risultati

  • Continua a crescere il numero delle vulnerabilità rilevate sui componenti ICS. Nel corso di questi ultimi anni sono sensibilmente aumentate le attenzioni nei confronti del livello di sicurezza IT degli ambienti ICS; questo ha fatto sì che divenisse di pubblico dominio un numero sempre maggiore di informazioni riguardo alle vulnerabilità individuate in tali sistemi. Un ulteriore elemento di particolare rilievo è poi rappresentato dal fatto che le suddette vulnerabilità potrebbero essere presenti già da vari anni, in questi prodotti, prima di essere svelate. In totale, nel 2015, sono state rese note 189 vulnerabilità a livello di componenti ICS; la maggior parte di esse è costituita da vulnerabilità critiche (49%), oppure presenta un livello di gravità medio (42%).
  • blogpost_ICS_01

    Numero di vulnerabilità ICS rilevate nel corso degli anni

  • Le vulnerabilità ICS possono essere sfruttate da malintenzionati. Per 26 delle vulnerabilità rese pubbliche nel corso del 2015, risultano disponibili appositi exploit. Inoltre, per numerose vulnerabilità (quali, ad esempio, quelle inerenti alle credenziali hardcoded) non si rivela affatto necessario l’utilizzo di un codice exploit per ottenere l’accesso non autorizzato al sistema vulnerabile. I nostri progetti relativi alla valutazione del grado di sicurezza degli ambienti ICS evidenziano, poi, come i sistemi di controllo industriali siano spesso considerati, dai loro stessi proprietari, alla stregua di semplici “scatole nere”; questo significa che le credenziali di default, a livello di dispositivi ICS, vengono di frequente lasciate invariate, e potrebbero quindi essere utilizzate per acquisire il controllo remoto del sistema sottoposto ad attacco. Il progetto SCADAPASS, realizzato dal team di SCADA StrangeLove, fornisce un’eloquente rappresentazione delle credenziali di default ICS attualmente conosciute. Risultano complessivamente disponibili, al momento attuale, informazioni relative a 134 componenti ICS, ripartiti tra 50 diversi vendor.
  • blogpost_ICS_02

    Le vulnerabilità ICS individuate nel 2015, suddivise in base al livello di rischio che esse presentano (CVSS v.2 e CVSS v.3)

  • Le vulnerabilità ICS sono ampiamente diversificate. Nel corso del 2015 sono state rilevate nuove vulnerabilità sui componenti ICS realizzati da numerosi vendor (55 diversi produttori), riconducibili a varie tipologie (HMI, dispositivi elettrici, SCADA, dispositivi di rete industriali, PLC e molti altri ancora). Il maggior numero di vulnerabilità è stato individuato sui dispositivi Siemens, Schneider Electric e Hospira. Le vulnerabilità presenti a livello di componenti ICS possono essere di vario genere. Le tipologie più diffuse sono le seguenti: buffer overflow (9% del numero complessivo di vulnerabilità rilevate), utilizzo di credenziali hardcoded (7%) e cross-site scripting (7%).
  • Non tutte le vulnerabilità scoperte nel 2015 risultano attualmente chiuse. Patch di sicurezza e nuovo firmware sono attualmente disponibili per l’85% delle vulnerabilità rese di pubblico dominio; le rimanenti vulnerabilità non sono ancora chiuse, oppure risultano parzialmente “fissate”, per varie ragioni. La maggior parte delle vulnerabilità non risolte tramite le apposite patch (14 di 19) sono falle di sicurezza che presentano un elevato livello di rischio. Ovviamente, simili vulnerabilità, non ancora “patchate”, comportano rischi assai rilevanti per i proprietari dei relativi sistemi ICS, soprattutto per coloro che, a causa di una gestione inappropriata della configurazione di rete, si avvalgono di componenti ICS vulnerabili “esposti” ad Internet. Un significativo esempio in tal senso è rappresentato dalle 11.904 interfacce della Sunny WebBox di SMA Solar accessibili da remoto, le quali sono ad effettivo rischio di compromissione, nonostante siano provviste di password hardcoded. Sebbene, per ciò che riguarda la Sunny WebBox, il numero dei dispositivi esposti ad Internet si sia ridotto in maniera significativa dal 2014 a questa parte (ricordiamo che in tale anno furono individuati oltre 80.000 componenti accessibili via Internet), si tratta di una cifra ancora elevata; inoltre, il problema relativo alle credenziali hardcoded (reso noto nel 2015), non ancora risolto, sottopone ora tali sistemi ad un rischio molto più alto rispetto a quanto si potesse pensare in precedenza.
  • blogpost_ICS_03

    Patching dei componenti ICS

  • Numerosi componenti ICS risultano accessibili via Internet. Sono stati complessivamente scoperti, attraverso il search engine Shodan, 220.668 componenti ICS. Essi sono collocati su 188.019 host, in 170 diversi paesi. La maggior parte degli host accessibili da remoto, provvisti di componenti ICS, è ubicata negli Stati Uniti (30,5%) e in Europa. Tra i paesi europei, la leadership è detenuta dalla Germania (13,9%), seguita dalla Spagna (5,9%). I sistemi accessibili sono risultati riconducibili a 133 diversi vendor. I più diffusi in assoluto sono, nell’ordine, Tridium (11,1%), Sierra Wireless (8,1%), e Beck IPC (6,7%).
  • blogpost_ICS_04

    Accessibilità dei sistemi ICS: TOP-20 dei paesi con il maggior numero di host

  • I componenti ICS accessibili da remoto fanno un ampio uso di protocolli non sicuri. Esiste, a tal proposito, tutta una serie di protocolli, che risultano aperti e non protetti per impostazione progettuale, quali, ad esempio, HTTP, Niagara Fox, Telnet, EtherNet/IP, Modbus, BACnet, FTP, Omron FINS, Siemens S7, e molti altri ancora. Essi vengono utilizzati su 172.338 host diversi; tale cifra corrisponde al 91,6% del numero complessivo di dispositivi ICS accessibili dall’esterno, da noi individuati. Tutto questo, indubbiamente, fornisce ad un eventuale criminale modalità aggiuntive per compromettere i dispositivi mediante l’esecuzione di attacchi di tipo “Man-in-the-Middle” (MitM).
  • blogpost_ICS_05

    TOP-15 relativa ai protocolli maggiormente utilizzati nell’ambito dei componenti ICS accessibili dall’esterno

  • Molteplici componenti ICS vulnerabili risultano accessibili dall’esterno. Abbiamo complessivamente individuato 13.033 vulnerabilità, ripartite su 11.882 host (6,3% del numero totale di host che presentano componenti accessibili dall’esterno). Le vulnerabilità più diffuse, tra quelle rilevate, sono la CVE-2015-3964 (inerente alle credenziali hardcoded presenti sulla Sunny WebBox) e le vulnerabilità critiche CVE-2015-1015 e CVE-2015-0987, individuate nel PLC CJ2M di Omron. Combinando tali risultati con le statistiche relative all’utilizzo di protocolli non sicuri, siamo stati in grado di stimare il numero totale di host ICS vulnerabili, risultato pari a 172.982 unità (92%).
  • blogpost_ICS_06

    TOP-5 delle vulnerabilità rilevate sui componenti ICS

  • Risultano colpite numerose industrie. E non solo… Abbiamo scoperto che almeno 17.042 componenti ICS, ripartiti su 13.698 host diversi, situati in 104 paesi, appartengono, verosimilmente, a società di grandi dimensioni; l’accessibilità di tali componenti attraverso la rete Internet è probabilmente correlata a significativi rischi. Abbiamo potuto identificare, tra i proprietari rilevati, ben 1.433 grandi organizzazioni, appartenenti ai seguenti settori: energia elettrica, industria aerospaziale, trasporti (aeroporti inclusi), petrolio e gas, metallurgia, chimica, agricoltura, automotive, utility, produzione bevande e produzione alimentare, costruzioni, serbatoi stoccaggio liquidi, città “intelligenti” e fornitori di ICS. Fanno inoltre parte del novero: istituti di ricerca e di istruzione, istituzioni governative (forze di polizia incluse), centri medici, organizzazioni finanziarie, resort, hotel, musei, biblioteche, chiese, e numerose imprese di piccole dimensioni; il lungo elenco, ribadiamo, si riferisce a proprietari di ICS accessibili da remoto, da noi identificati. Il numero totale di host ICS vulnerabili, accessibili dall’esterno, ed appartenenti, verosimilmente, ad organizzazioni di primaria importanza, ammonta a 12.483 unità (91,1%). Gli host che contengono vulnerabilità critiche sono risultati essere, complessivamente, 453 (3,3%); sono compresi, tra questi, host riconducibili ai seguenti settori: energia, trasporti, gas, società di engineering e manifatturiere, produzione bevande e produzione alimentare, organizzazioni operanti nel settore energetico e nei trasporti.

blogpost_ICS_07

Quadro dell’accessibilità ICS in base ai vari vendor identificati

I risultati qui sopra esposti riassumono, di fatto, stime minimali; il numero effettivo di componenti ICS accessibili, associati a rischi significativi, potrebbe rivelarsi ben superiore.

Conclusioni

Ai fini della protezione, l’isolamento degli ambienti critici non può più essere ritenuto una misura di sicurezza sufficiente, per quel che riguarda gli ICS. Oltretutto, le specifiche esigenze del business targato 21° secolo fanno sì che si riveli spesso necessario integrare gli ICS con sistemi e reti esterne. Parallelamente, le capacità tecniche, le motivazioni ed il numero complessivo dei threat actor che prendono di mira gli ambienti ICS sono in costante e sensibile aumento. Dall’infezione degli hard disk – o delle chiavette USB – alle connessioni in Rete non autorizzate, eseguite dai network ICS, attraverso gli smartphone o i modem di cui dispone il personale; dai distributive kit infetti, ricevuti dai fornitori, all’insider assoldato dai malintenzionati: tutti questi metodi, attualmente, risultano purtroppo accessibili e praticabili per gli intruder di elevato profilo, altamente “specializzati” dal punto di vista tecnico, che intendono pianificare un attacco informatico mirato nei confronti di una rete ICS fisicamente e logicamente isolata.

Al giorno d’oggi, i proprietari di sistemi ICS dovrebbero essere ben consapevoli delle vulnerabilità esistenti e delle specifiche minacce IT attualmente in circolazione, per poi migliorare sensibilmente il livello di sicurezza degli ambienti ICS attraverso i quali operano, proprio basandosi sulle conoscenze acquisite riguardo alle tematiche di cybersecurity di loro interesse. Qui, di sicuro, si rivela di fondamentale importanza il supporto attivamente fornito dal vendor, sia allo scopo di identificare ed eliminare rapidamente le vulnerabilità individuate sui componenti ICS, sia per condividere le soluzioni alternative messe a punto per proteggere tali sistemi prima che venga effettuata la release delle indispensabili patch di sicurezza.

La specificità degli ICS – che vede le tematiche di cyber-sicurezza strettamente legate alla sicurezza fisica – è spesso oggetto di un atteggiamento del tutto opposto a quello che sarebbe invece auspicabile in simili circostanze. Le piccole e medie imprese, ad esempio, così come i singoli utenti, si affidano completamente ai vendor, per ciò che riguarda la sicurezza nell’ambito dell’Internet delle Cose. I consumatori, da parte loro, non vanno oltre le misure di sicurezza e le istruzioni basilari riportate sui manuali dei dispositivi; in tal modo si ottengono dispositivi pronti all’uso e facilmente accessibili, ma anche, purtroppo, vulnerabili. Al contrario, nell’area aziendale, le società comprendono bene gli elevati rischi derivanti da un’errata configurazione degli ambienti ICS. Tuttavia, i proprietari di tali sistemi considerano spesso i dispositivi ICS alla stregua di semplici “scatole nere”, e quasi tremano all’idea di dover apportare dei cambiamenti all’ambiente operativo, anche se le modifiche riguardano, di fatto, il miglioramento del livello di cyber-sicurezza.

I risultati emersi attraverso la ricerca da noi condotta evidenziano, ancora una volta, come il principio “Security through Obscurity” non possa costituire una valida base per ottenere un’efficace protezione nei confronti degli attuali attacchi informatici; la sicurezza IT dei sistemi di controllo industriali, inoltre, non dovrebbe essere trattata in maniera superficiale, favorendo esclusivamente le tematiche connesse alla sicurezza fisica: i due elementi – sicurezza informatica e sicurezza fisica – sono in effetti legati in maniera inscindibile, in questo settore.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *