Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Evil PLC

Támadás kompromittált PLC-kről mérnöki munkaállomások ellen

2022. szeptember 06. - icscybersec

A 30. DEFCON konferencián, amit augusztus elején tartottak Las Vegasban, Sharon Brizinov, a Claroty ICS biztonsági szakértője és a cég Team82 nevű csapata egy, a PLC-kkel kapcsolatos biztonsági kutatásról tartottak előadást. A kutatás célja az volt, hogy felmérjék, lehet-e egy kompromittált PLC-ről sikeres támadást indítani a mérnöki munkaállomások ellen. A támadási módnak és az előadásnak az Evil PLC nevet adták.

A kutatás során 7, világszerte ismert és használt gyártó PLC-hez sikerült működő proof-of-concept exploit-ot készíteniük, az alábbi gyártók eszközei érintettek:

- Rockwell Automation;
- Schneider Electric;
- GE;
- B&R;
- XINJE;
- OVARRO;
- Emerson;

A dokumentum első fejezete egy egészen jó, alapszintű áttekintést ad a PLC-k hardveres és szoftveres felépítéséről, valamint a PLC programozás alapjairól.

A kutatás alaptézise gyakorlatilag megfordítja a szokásos támadási formákat és ahelyett, hogy az ipari szervezet vállalati IT-ján és az OT hálózaton keresztül, a mérnöki/operátori munkaállomás kompromittálása után biztosít hozzáférést a PLC-hez, az Internetre csatlakoztatott PLC-ket kezdték keresni a Censys segítségével. Ez viszont azt is jelenti, hogy ha egy szervezet betartja az ICS kiberbiztonság egyik legfontosabb alapszabályát ("Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell."), rögtön jelentősen lehet csökkenteni egy ilyen támadás bekövetkezésének az esélyeit. Sajnos én is tisztában vagyok azzal, hogy ez mennyire nem működik úgy, ahogyan kéne (különösen, ha figyelembe vesszük az IIoT és ipari felhős alkalmazások terjedését, amik mind-mind megkövetelik akár még a PLC-k számára is a publikus hálózati kapcsolatot), azonban ezekben az esetekben is lehetne és kellene törekedni a minimálisan szükséges Internet-irányú kitettség megtartására (fehérlistázott elérhető Internetes erőforrásokra minimalizálni az ICS rendszerek/eszközök hozzáféréseit).

Az Evil PLC kutatással kapcsolatos további részletei a Claroty oldalán ingyenesen elérhető (60 oldalas) dokumentumban találhatóak.

Szerk: A YouTube-on elérhető a teljes előadás felvétele: https://www.youtube.com/watch?v=pNNOUiR8EQo

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr1517925205

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása