Il 28 Luglio i ricercatori della Claroty, azienda specializzata nella sicurezza dell’Operational Technology (OT) in ambito industriale, hanno pubblicato un’interessante ricerca sulle vulnerabilità di alcune VPN industriali. Parliamo dunque di soluzioni di accesso remoto a OT, quindi utilizzate per connettersi a sistemi ICS (Industrial Control System), PLC e device di input/output.
Questo tipo di soluzioni VPN sono generalmente utilizzate nel layer più esterno (il quinto) del modello Purdue e forniscono accesso ai layer 0 e 1.
Questo significa che un agente ostile che riesce a sfruttare vulnerabilità in queste soluzioni VPN può potenzialmente causare danni diretti, fisici, alle infrastrutture, interagendo di fatto direttamente con i sensori e con i processi industriali.
Vulnerabilità VPN industriali purdueModel.jpg
I ricercatori hanno analizzato in particolare soluzioni che forniscono servizi simili. Ecco tutti i dettagli.
Indice degli argomenti
Vulnerabilità nelle VPN industriali: Secomea GateManager
Questa è una soluzione di remote access server.
Un remote access server serve da interfaccia tra l’internet pubblico ed un network interno, funge letteralmente da “porta” tra le due reti.
Questo avrà quindi una parte esposta al pubblico e una parte interna, situata oltre tutte le difese perimetrali.
Risulta evidente quanti rischi possano essere correlati ad eventuali vulnerabilità di questo tipo di server. Un agente malevolo potrebbe sia sniffare il traffico interno, sia, potenzialmente, eseguire del codice.
Negli ultimi anni si è visto un passaggio a soluzioni cloud anche per questo tipo di tecnologie.
Come sempre, il cloud porta a soluzioni con deployment standard, più semplici e più economici, ma non privi di rischi.
Secomea GateManager è proprio una soluzione di remote access server SaaS (Software as a Service) in cui i ricercatori di Claroty hanno individuato diversi difetti di sicurezza, alcuni di questi rappresentano vulnerabilità di alto livello.
Vulnerabilità VPN industriali gatemanager.jpg
Le vulnerabilità ritrovate sono:
- CVE-2020-14500
- CVE-2020-14508
- CVE-2020-14510
- CVE-2020-14512
Le prime tre vulnerabilità possono essere utilizzate per ottenere il quasi totale controllo del sistema da parte di un agente malevolo.
Queste sono tutte eseguibili da remoto e senza necessità di essere autenticati.
La prima, 14500, consente di eseguire codice da remoto (RCE, Remote Code Execution) attraverso l’utilizzo di specifici HTTP header nelle richieste.
La seconda, 14508, sfrutta un off-by-one error e permette una RCE.
La terza, 14510, permette l’accesso non autorizzato grazie alla presenza di credenziali hard-coded nel codice.
La quarta vulnerabilità è meno critica delle altre, a causa dell’utilizzo di funzioni di hashing deboli, ma un attaccante potrebbe comunque ottenere delle informazioni non autorizzate.
Qui è disponibile il report della neonata agenzia Americana CISA su queste vulnerabilità che, è bene precisare, riguardano tutte le versioni inferiori alla 9.2b: sono state infatti rilasciate delle patch da Secomea che risolvono tutti questi difetti.
Vulnerabilità nelle VPN industriali: Moxa EDR-G902
Recentemente NSA e CISA hanno rilasciato un rapporto congiunto sottolineando la sempre maggiore attenzione da parte di malintenzionati per le infrastrutture critiche, nella maggior parte delle volte attaccate attraverso asset OT accessibili via internet.
Il problema, in ambito industriale, di avere connessioni sicure tra i siti remoti e i data center principali dove risiedono SCADA e data collection, è noto da anni.
Molte e variegate soluzioni VPN sono state implementate per risolvere questo problema.
I ricercatori della Claroty hanno trovato una vulnerabilità importante anche in una di queste soluzioni, l’EDR-G902/3 della MOXA.
Una richiesta HTTP con un cookie di grandi dimensioni può risultare un buffer overflow stack-based, questo a sua volta può portare o al crash del device o all’esecuzione arbitraria di codice (RCE).
Qui sotto è possibile vedere lo pseudocode fornito dai ricercatori:
Vulnerabilità VPN industriali pseudocode.jpg
Qui è disponibile il report della CISA su questa vulnerabilità che riguarda, in particolare:
Questa vulnerabilità riguarda:
- EDR-G902 Series: firmware versione 5.4 e inferiori
- EDR-G903 Series: firmware versione 5.4 e inferiori
Un aggiornamento del firmware permette di eliminare questa vulnerabilità.
Vulnerabilità nelle VPN industriali: HMS eWon/eCatcher
Qui parliamo, invece, di una vulnerabilità concentrata sull’altro lato delle VPN, il client.
HMS Networks offre diverse soluzioni per connessioni sicure, una di queste è eWon, il cui client è chiamato eCatcher.
Questo client si è dimostrato vulnerabile ad uno stack-based buffer-overflow: un attaccante, attraverso l’invio di uno specifico input, può eseguire codice arbitrariamente (RCE), arrivando anche a prendere il controllo della macchina su cui era installato il client.
Inviare e-mail di phishing/spear phishing contenenti immagini malevoli è sufficiente per innescare il buffer-overflow. Questo accade nel momento stesso in cui il client e-mail (ad esempio Outlook) carica le immagini.
Vulnerabilità VPN industriali ecatcherpoc.jpg
Aggiornare il client è sufficiente risolvere questa vulnerabilità.
I ricercatori hanno comunicato il problema a HMS il 12 maggio 2020, HMS ha rilasciato il fix il 14 luglio 2020.
Conclusioni
Il trend degli attacchi alle VPN in ambito ICS è da diversi anni in continuo aumento: decine di vulnerabilità con vari livelli di criticità sono state rese pubbliche nell’ultimo anno per le principali tecnologie di questo tipo.
In un periodo in cui, a causa della Covid-19, l’utilizzo di VPN è aumentato rapidamente, si rende ancora più necessario prestare la massima attenzione a questo tipo di implementazioni.
Come abbiamo visto nell’articolo, le superfici di attacco ad una infrastruttura che fa uso di VPN sono molteplici. Servizi cloud, server e client possono tutti essere bersagli.
Diverse APT si stanno specializzando nelle componenti informatiche delle reti OT, a causa del loro altissimo valore.
Anche vari gruppi ransomware prendono di mira componenti simili, come workstation o human machine interfaces.
Va ricordato che programmi di security awareness sono sempre utili, anche nel caso della sicurezza informatica dei network di Operational Technology: sono infatti in forte aumento le campagne di phishing e spear-phishing mirate a questo tipo di bersagli.
