Crit.IX: 9 Vulnerabilità scoperte nelle piattaforme Honeywell Experion® per i Sistemi di Controllo Distribuiti (DCS)

Overview Generale

Oggi Armis e Honeywell hanno divulgato congiuntamente “Crit.IX”, 9 nuove vulnerabilità che i ricercatori di Armis hanno trovato nelle piattaforme DCS Honeywell Experion® e che potrebbero consentire l’esecuzione di codici remoti non autorizzati su entrambe le versioni legacy del server e dei controller Honeywell. Se sfruttate, permetterebbero a un aggressore di prendere il controllo dei dispositivi e di alterare il funzionamento del controller DCS, nascondendo al contempo le alterazioni alla workstation di ingegneria che gestisce il controller DCS. Lo sfruttamento di queste vulnerabilità non richiede l’autenticazione, ma solo l’accesso alla rete dei dispositivi interessati. Potenzialmente qualsiasi asset IT, IoT e OT compromesso nello stesso network del dispositivo DCS potrebbe essere utilizzato per un attacco.

Nel maggio 2022 Armis ha confermato a Honeywell la scoperta di 13 problemi di codice riscontrati nel controller e nel server Experion C300. Questi problemi si traducono in 9 nuove vulnerabilità, 7 delle quali considerate critiche. A causa della gravità e dell’impatto di queste vulnerabilità, Honeywell e Armis hanno collaborato per indagare su queste scoperte, comprendere i problemi sottostanti e lavorare a una soluzione. Honeywell ha reso disponibili le patch di sicurezza e consiglia vivamente a tutti i clienti interessati di applicarle immediatamente.

Risultati chiave:

• La nostra ricerca ha rivelato i punti deboli del protocollo CDA, un protocollo proprietario progettato da Honeywell e utilizzato per la comunicazione tra i server Honeywell Experion e i controller C300. Questo protocollo manca di crittografia e di meccanismi di autenticazione adeguati. Di conseguenza, chiunque abbia accesso alla rete è in grado di impersonare sia il controller che il server. Inoltre, il protocollo CDA presenta dei difetti di progettazione che rendono difficile il controllo dei confini dei dati e possono portare a buffer overflow.
• Honeywell implementa anche un protocollo CDA Data Client Named Access sul Server Experion, che è utilizzato per la comunicazione tra il Server Honeywell Experion® e le applicazioni Experion®, consentendo l’accesso ai tag names da parte di tali applicazioni. È stato riscontrato che l’implementazione di Honeywell di questo protocollo contiene 4 vulnerabilità che consentono l’esecuzione di codice remoto (RCE) sul Server Experion.
• Durante il processo di divulgazione abbiamo appreso che, a causa del riutilizzo del codice vulnerabile in altri prodotti, le vulnerabilità riguardano anche le piattaforme LX e PlantCruise di Honeywell.

Dispositivi interessati

Le vulnerabilità appena scoperte interessano una serie di prodotti di diverse versioni di tre piattaforme DCS Honeywell Experion: nella piattaforma Experion Process Knowledge System (EPKS) (Experion Server e Experion Station) e in quelle LX e PlantCruise (Engineering Station e Direct Station). Inoltre, le vulnerabilità riguardano il controller C300 DCS, utilizzato in tutte e tre le piattaforme.

Proteggere le infrastrutture critiche

Negli ultimi anni abbiamo assistito a un costante aumento di attacchi e vulnerabilità degni di nota contro obiettivi di tecnologia operativa (OT), evidenziando i rischi crescenti cui sono esposti i sistemi di infrastrutture critiche.

Un esempio significativo è stato l’attacco a un’acciaieria iraniana, che sarebbe stato condotto dal gruppo di attivisti hacker – hacktivisti – “Predatory Sparrow” nel giugno 2022. Il gruppo ha dichiarato di aver provocato un grave incendio all’interno dell’impianto e ha persino pubblicato un video che sembrava essere un filmato delle telecamere a circuito chiuso, mostrando i lavoratori che evacuavano un’area dell’impianto prima che una macchina iniziasse a far fuoriuscire acciaio fuso e fuoco. L’attacco è significativo per la sua rarità nel causare danni fisici, dato che la maggior parte degli attacchi informatici si verifica tipicamente nel mondo digitale.

Un altro incidente di alto profilo ha coinvolto la Colonial Pipeline, uno dei più grandi oleodotti di carburante degli Stati Uniti. Nel maggio 2021, l’oleodotto ha subito un attacco ransomware che ha interrotto le forniture di carburante lungo la costa orientale. L’attacco ha sfruttato le vulnerabilità della rete informatica dell’oleodotto, causando interruzioni operative e innescando carenze di carburante in vari Stati. Questo evento ha evidenziato l’interconnessione tra i sistemi IT e OT e ha sottolineato la necessità di misure di cybersecurity solide in tutti gli aspetti delle infrastrutture critiche.

Questi esempi servono a ricordare il sempre più ampio panorama delle minacce e l’urgente necessità di rafforzare le difese, implementare solide misure di sicurezza e promuovere la collaborazione tra le parti interessate per salvaguardare i sistemi OT critici da potenziali attacchi e vulnerabilità.

Le vulnerabilità degli ICS rappresentano un rischio significativo per le infrastrutture critiche, tra cui centrali elettriche, impianti di produzione e raffinerie di petrolio. La divulgazione responsabile delle vulnerabilità svolge un ruolo cruciale nel garantire la protezione di questi sistemi da potenziali attacchi e nel ridurre al minimo l’impatto sulla sicurezza pubblica e sulla continuità operativa.

Armis prende molto sul serio la divulgazione responsabile ed è lieta di poter collaborare con Honeywell per trovare un modo per supportare le organizzazioni che sono state potenzialmente esposte a queste vulnerabilità critiche. 

Divulgazione Responsabile e Collaborazione

Il White paper tecnico di Armis mostra nel dettaglio le vulnerabilità e come il team di Armis le ha trovate. Il documento è disponibile qui: https://media.armis.com/pdfs/wp-critix-honeywell-experion-vulnerabilities-en.pdf

Mitigazione

Honeywell ha reso disponibile delle patch di sicurezza e consiglia vivamente a tutte le organizzazioni interessate di installarle.

I clienti di Honeywell possono avere accesso alle patch accedendo a https://process.honeywell.com/ e cercare nella sezione Techincal Publication. Per maggiori informazioni in merito al Processo di Divulgazione Coordinato delle vulnerabilità di Honeywell, visitare: https://www.honeywell.com/us/en/product-security.

È essenziale dare priorità all’implementazione di queste patch e aggiornamenti del firmware per risolvere efficacemente le vulnerabilità segnalate. Inoltre, le organizzazioni dovrebbero continuare a impegnarsi per adottare misure di sicurezza solide, tra cui valutazioni di sicurezza di routine, test di penetrazione e formazione completa sulla sicurezza per i team di sviluppo.

Come può aiutare Armis

Lo sviluppo e la distribuzione di patch per risolvere le vulnerabilità presenti nei controller e nelle workstation di ingegneria negli ambienti OT è essenziale per ridurre la superficie di attacco. A causa della criticità aziendale e del loro impatto sui processi operativi, il rilascio e l’installazione di patch per questi asset richiede un processo di QA molto approfondito e, molto probabilmente, una finestra di manutenzione  e di interruzione, che può richiedere un lungo periodo di tempo per essere coordinata e infine completata. È ragionevole supporre che le risorse interessate rimarranno vulnerabili per un lungo periodo di tempo. Durante questo periodo, è possibile implementare misure di mitigazione per rilevare e prevenire attacchi a queste infrastrutture critiche.

I Clienti di Armis possono utilizzare l’Asset Intelligence e la Security Platform per proteggere le proprie reti nei seguenti modi:

1. 1. Ottenere una visibilità completa delle risorse. Ottenendo un inventario accurato che comprende ogni aspetto, dall’hardware alla versione del firmware e del software, le organizzazioni possono identificare efficacemente i server e i controller vulnerabili nel loro ambiente.
2. Implementando un programma di Vulnerability Management che stabilisca le priorità in base al rischio, le organizzazioni possono minimizzare efficacemente i loro punti deboli e ridurre il rischio di exploit mirati ai dispositivi senza patch disponibili. Inoltre, l’applicazione tempestiva delle patch di sicurezza al loro rilascio ridurrà significativamente la finestra di vulnerabilità di questi dispositivi.
3. Poiché le vulnerabilità scoperte richiedono solo l’accesso alla rete di un dispositivo vulnerabile, la segmentazione della rete contribuirà notevolmente a prevenire lo sfruttamento di queste vulnerabilità. Separando la rete in segmenti distinti in base ai livelli di sicurezza o ai tipi di dispositivi, le organizzazioni possono limitare il movimento laterale degli aggressori, contenendo efficacemente le minacce potenziali e mitigando l’impatto sui dispositivi vulnerabili. Lo sforzo di segmentazione negli ambienti OT può essere realizzato utilizzando un modello di riferimento del settore, come il Modello Purdue, che rappresenta una visione logica o funzionale degli ambienti OT e può essere utilizzato per identificare eventuali deviazioni dai comportamenti previsti per gli asset OT, in particolare gli asset che comunicano al Livello 0 e al Livello 1 delle risorse di livello superiore, compresi gli asset nelle reti IT. La segmentazione può essere ottenuta selezionando solo i comportamenti attesi dei dispositivi e inserendoli nella whitelist.
4. L’esperienza ha dimostrato che anche le reti ben protette sono sensibili ad attacchi. Diventa quindi imperativo implementare un robusto sistema di Threat Detection in grado di identificare i tentativi di exploit che si estendono all’intera rete e comprendono tutti i dispositivi, tra cui quelli IT, OT e IoT. L’impiego di un mix di tecniche di rilevamento, tra cui l’analisi signature-based, il rilevamento delle anomalie e gli indicatori di compromissione (IOC), aggiunge un ulteriore livello di sicurezza, incrementando la postura difensiva complessiva in caso di attacco.

Divulgazione Coordinata

La scoperta e la divulgazione delle vulnerabilità del controller Honeywell Experion C300 sono essenziali per il continuo miglioramento della sicurezza informatica industriale. Segnalando responsabilmente le vulnerabilità a fornitori come Honeywell, i ricercatori di sicurezza svolgono un ruolo fondamentale nella salvaguardia delle infrastrutture critiche e nella promozione di un ambiente più sicuro per i sistemi di controllo industriale. È attraverso gli sforzi di collaborazione e le pratiche di divulgazione coordinate che possiamo migliorare la posizione di sicurezza dei sistemi di controllo industriale e ridurre i rischi potenziali.

L’Armis Research Process

Nei Laboratori di ricerca Armis, il nostro team è specializzato nel condurre analisi tecniche di diversi dispositivi per ottenere una visione completa dei loro protocolli e valutarne la sicurezza informatica. Una volta acquisita una buona comprensione di un protocollo, possiamo monitorare l’utilizzo del dispositivo in questione per individuare eventuali anomalie e rilevare gli aggressori, nonché le configurazioni errate e i malfunzionamenti.

Per maggiori informazioni visitate la nostra landing page, con ulteriori dettagli tra cui le strategie di difesa.

Prossimi momenti di discussione

Nelle prossime settimane e nei prossimi mesi Armis approfondirà ulteriormente la discussione su queste vulnerabilità.

Inoltre, io e Carlos presenteremo insieme un webinar su queste vulnerabilità. Il webinar si terrà mercoledì 6 settembre alle 11:00 ET. E’ possibile registrarsi a questo link: https://event.on24.com/wcc/r/4279011/6F70E4737D9E7789C3C9B69953F6307A?partnerref=blog