L'attaque de sécurité ICS permet le contrôle à distance des bâtiments

Vous pouvez « [g]gérer l'ensemble de votre usine centrale à partir d'un seul contrôleur."

Cette vantardise marketing fait référence aux capacités du système de contrôle enteliBUS de Delta Controls.

Cela illustre également pourquoi la commodité, comme la complexité, a été qualifiée d'ennemie de la sécurité.

La facilité d'utilisation offerte par les systèmes industriels connectés peut également en faire un point de défaillance unique dans une cyberattaque, donnant potentiellement à un adversaire le contrôle des actifs industriels et immobiliers. Par exemple, un pirate informatique ciblant un tel système pourrait démanteler le chauffage ou le refroidissement d'un système CVC lors d'un événement météorologique extrême. Un tel exploit de sécurité ICS pourrait également provoquer une augmentation de la température dans une usine de fabrication ou un centre de données. Les systèmes d'éclairage et de contrôle d'accès en réseau seraient également un jeu équitable. Étant donné que le gestionnaire enteliBUS et d'autres produits similaires sont des contrôleurs BACnet programmables, les cibles potentielles de tels systèmes pourraient inclure pratiquement n'importe quel environnement d'entreprise ou industriel hébergé dans un bâtiment. Un article de blog de McAfee souligne également que ces systèmes BACnet sont utilisés pour contrôler la salle à pression positive dans un hôpital. Cette salle est chargée d'empêcher les contaminants de pénétrer dans les salles d'opération.

Sur scène chez McAfee MPOWER, Doug McKee, chercheur principal en sécurité dans l'entreprise, a montré le potentiel d'un exploit zero-day ciblant le système enteliBUS lors d'une démonstration en direct. "L'une des choses que nous avons pu faire est d'exploiter cette vulnérabilité à 100% à distance", a déclaré McKee.

[ Monde de l'IoT industriel est l'événement où les entreprises apprennent à faire évoluer l'IIoT pour l'intégration, l'innovation et le profit. Économisez 200 $ sur votre pass conférence avec le code VIP " IOTMONDE AUJOURD'HUI .”]

Démontrer les dégâts

Dans une démonstration sur scène, McKee a démontré à quel point il est facile d'exploiter la vulnérabilité CVE-2019-9569, pour laquelle un correctif est disponible. Avec un centre de données simulé qui a été configuré pour l'événement, McKee a déclaré qu'un attaquant utilisant l'exploit pourrait contrôler les pompes, les vannes et les ventilateurs en réseau dans le système CVC du centre de données imaginaire.

Un résumé décrivant la vulnérabilité de sécurité ICS dans la base de données nationale sur les vulnérabilités indique également qu'elle pourrait également permettre à un pirate informatique de provoquer une attaque par déni de service. Le problème sous-jacent qui a rendu l'attaque possible lié à une incohérence dans la gestion du trafic réseau a créé un débordement de la mémoire tampon, un type de vulnérabilité documenté par le gouvernement américain dans une étude de 1972 sur la planification de la technologie de sécurité informatique. Selon Wikipédia, le premier cas documenté d'attaque par débordement de tampon survenant dans la nature remonte à 1988. 

Lors de la présentation sur scène à McAfee MPOWER, McKee a montré comment les logiciels malveillants développés pour exploiter la vulnérabilité lui ont permis d'activer et de désactiver les commandes HVAC et une alarme via un shell inversé. Une alarme connectée à un tel système pourrait être liée à un système de gestion des informations et des événements de sécurité, ou envoyer une alerte à un gestionnaire des installations via un SMS ou un message électronique. "Avec quelques frappes, je peux aller de l'avant et allumer l'alarme", a déclaré McKee. S'adressant à McKee sur scène, Steve Grobman, directeur de la technologie de McAfee, a déclaré : « Connaissant votre sens de l'humour, vous seriez probablement assis sur le parking, et lorsque la personne responsable de [l'installation du centre de données] entre, vous éteignez l'alarme.

Mais les pirates pourraient mener des attaques plus rusées qui accomplissent plus que de simples employés de maintenance et de gestion des installations ennuyeux. Par exemple, pour un centre de données refroidi par liquide ou toute installation dotée d'une chaufferie ou d'un système CVC refroidi par eau, un attaquant pourrait arrêter les pompes du réseau à volonté. « Mon système de CVC à la maison n'utilise pas de pompes à eau, mais les systèmes industriels le font. Et ils fournissent un refroidissement critique pour les composants critiques », a déclaré Grobman.

Après la démonstration de la pompe, McKee a fermé le registre du système CVC pour bloquer le flux d'air, puis a fermé une vanne.

La vulnérabilité permettrait également à un attaquant de manipuler des données, de modifier les lectures de température ou d'autres variables.

Action à distance

Étant donné que l'attaque de sécurité ICS est exploitable sur Internet, un adversaire pourrait essentiellement effectuer un tel exploit n'importe où. Selon un article de blog McAfee, 1 600 appareils enteliBUS Manager se sont affichés lors d'une recherche en août sur le moteur de recherche IoT Shodan.io. Une recherche sur « eBMGR » le 4 octobre a permis de trouver près de 500 appareils de ce type, dont la majeure partie se trouve en Amérique du Nord. Shodan a cependant signalé une partie de ces appareils comme des pots de miel. Un certain nombre d'appareils eBMGR affichés sur Shodan avaient la version 3.40.571848 installée, qui était la version vulnérable exploitée par McAfee dans ses laboratoires. Probablement, les appareils utilisant un firmware antérieur sont également à risque.

McAfee a partagé pour la première fois ses recherches concernant les appareils eBMGR avec Delta Controls le 7 décembre 2018. Delta Controls a répondu à la divulgation de la vulnérabilité de McAfee en quelques semaines et, comme mentionné précédemment, a publié un correctif pour remédier à cet exploit. "Une fois que ce correctif était prêt à être utilisé, ils nous l'ont renvoyé, et j'ai personnellement vérifié qu'il corrigeait à 100% cette vulnérabilité", a déclaré McKee.