Il 2016 si è chiuso con proclami (e buone intenzioni) da parte di tutti sulla necessità di dare una svolta al tema della sicurezza dei sistemi industriali. Ma la realtà purtroppo non cambia da un giorno all’altro. Il 2017, infatti, sembra essersi aperto sotto il segno della beffa: da inizio anno, infatti, sono state già individuate diverse vulnerabilità – di gravità diversa – nei sistemi di controllo di alcuni importanti player dell’automazione.
Ve li sottoponiamo per due ragioni: la prima è sensibilizzarvi sul fatto che anche i migliori software e sistemi di controllo non sono esenti da problemi di sicurezza e quindi affidarvi a un big player non vi esonera dal dovere di mettere a punto una corretta strategia per la sicurezza dei vostri impianti.
La seconda ragione è per ricordarvi che i sistemi industriali – anche quando non vorreste toccarli perché “tanto funzionano” – vanno aggiornati costantemente, esattamente come il vostro PC di casa e il vostro smartphone. Le vulnerabilità che vedrete di seguito non sono le sole, non sono prime e sicuramente non sono le ultime.
Indice degli argomenti
Il caso Micrologix
A inizio gennaio è toccato ai microcontrollori Micrologix 1100 e 1400 (sia Serie A che serie B) di Rockwell Automation. Le vulnerabilità classificate come CVE-2016-9334 e CVE-2016-9338. La prima è una vulnerabilità del tipo man-in-the-middle che permette a un attaccante di leggere le credenziali degli utenti mentre venivano inviate al server in maniera non protetta; la seconda invece permetteva a un utente admin di cancellare ogni altra utenza costringendo al reset del sistema. Rockwell Automation è naturalmente corsa ai ripari e ha reso disponibile una nuova versione del firmware (versioni 15 e 16) dei controllori che risolve il problema per le serie B, mentre per le serie A si raccomanda la disattivazione del web server.
Pochi giorni dopo è stata segnalata un’altra vulnerabilità (CVE-2016-9343) relativa alle release firmware dalla 16 alla 21 dei controllori della famiglia Logix. In questo caso l’invio di speciali pacchetti CIP ai controllori permetteva di far entrare gli stessi in condizione Distributed Denial of Service. Anche in questo caso Rockwell ha reso disponibili delle patch con aggiornamenti firmware per tutti i prodotti (eccetto per i FlexLogix che non sono più supportati).
Il caso StruxureWare
A gennaio 2017 sotto i riflettori anche il sistema StruxureWare di Schneider Electric. In questo caso gli hacker potevano recuperare le password non criptate che risiedevano nella RAM dei client e avere così accesso da remoto alle informazioni sensibili contenute nei sistemi di supporto dei Data Center associati a StruxureWare Data Center Expert.
“Una vulnerabilità di questo tipo – ha commentato Ilya Karpov di Positive Technologie, la società che ha scoperto la vulnerabilità – potrebbe minacciare il corretto funzionamento di tutti i sistemi dai quali dipendono i datacenter: videosorveglianza, impianti di estinzione, generatori di backup, interruttori, stazioni di pompaggio, centraline dei motori e impianti di raffreddamento”.
Schneider Electric ha reso disponibile un aggiornamento che risolve la vulnerabilità (versione 7.4.0).
Il caso Proficy
Anche i sistemi di GE non sono stati esenti da falle. A gennaio infatti i sistemi iFix 5.8 SIM 13, Cimplicity 9.0 e Historian 6.0 sono stati al centro di analisi a causa della vulnerabilità CVE-2016-9360 che permetteva all’hacker di intercettare le password degli utenti locali e accedere così alla gestione del sistema. Una seconda vulnerabilità consentiva a un malintenzionato con accesso locale a iFix 5.8 (build 8255) di avere le password dei database industriali. Infine, una falla in Proficy Historian Administrator 5.0.195.0 rendeva possibile a un hacker che ha accesso locale ai sistemi di bloccare l’autorizzazione dell’applicazione ad accedere al database real-time, rendendo impossibile quindi leggere e registrare dati nell’historian.
GE ha corretto questi problemi con le ultime release sei suoi software che sono: iFIX 5.8 SIM 14, Cimplicity 9.5 e Historian 7.0.