Rockwell adviseert om internetgerichte ICS-apparaten los te koppelen vanwege cyberdreigingen

Rockwell Automation dringt er bij zijn klanten op aan om alle industriële controlesystemen (ICS's) die niet bedoeld zijn om te worden aangesloten op het openbare internet, los te koppelen om ongeoorloofde of kwaadwillige cyberactiviteiten te beperken.

Het bedrijf zei dat het het advies uitbrengt vanwege “verhoogde geopolitieke spanningen en vijandige cyberactiviteiten wereldwijd.”

Daartoe moeten klanten onmiddellijk actie ondernemen om te bepalen of ze over apparaten beschikken die via internet toegankelijk zijn en, als dat zo is, de connectiviteit afsluiten voor apparaten die niet bedoeld zijn om blootgesteld te worden.

“Gebruikers mogen hun assets nooit zo configureren dat ze rechtstreeks verbonden zijn met het openbare internet”, voegde Rockwell Automation verder toe.

“Het verwijderen van die connectiviteit als een proactieve stap verkleint het aanvalsoppervlak en kan de blootstelling aan ongeautoriseerde en kwaadaardige cyberactiviteiten van externe bedreigingsactoren onmiddellijk verminderen.”

Bovendien moeten organisaties ervoor zorgen dat ze de nodige maatregelen en patches hebben ingevoerd om zich te beschermen tegen de volgende fouten die van invloed zijn op hun producten:

De waarschuwing is ook gedeeld door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), die gebruikers en beheerders ook aanbeveelt passende maatregelen te volgen die in de richtlijnen zijn beschreven om de blootstelling te verminderen.

Dit omvat een advies uit 2020 dat gezamenlijk is uitgebracht door CISA en de National Security Agency (NSA) waarin wordt gewaarschuwd voor kwaadwillende actoren die via internet toegankelijke operationele technologie (OT)-middelen misbruiken om cyberactiviteiten uit te voeren die ernstige bedreigingen kunnen vormen voor kritieke infrastructuur.

“Cyberactoren, waaronder Advanced Persistent Threat (APT)-groepen, hebben zich de afgelopen jaren op OT/ICS-systemen gericht om politieke winsten en economische voordelen te behalen en mogelijk destructieve effecten uit te voeren”, merkte de NSA in september 2022 op.

Er is ook waargenomen dat tegenstanders verbinding maken met openbaar toegankelijke programmeerbare logische controllers (PLC's) en de besturingslogica aanpassen om ongewenst gedrag te veroorzaken.

Uit recent onderzoek, gepresenteerd door een groep academici van het Georgia Institute of Technology op het NDSS Symposium in maart 2024, is gebleken dat het mogelijk is een aanval in Stuxnet-stijl uit te voeren door de webapplicatie (of mens-machine-interfaces) die wordt gehost door de embedded webservers binnen de PLC's.

Dit omvat het exploiteren van de webgebaseerde interface van de PLC die wordt gebruikt voor monitoring, programmeren en configuratie op afstand om initiële toegang te verkrijgen en vervolgens te profiteren van de legitieme application programming interfaces (API's) om de onderliggende echte machines te saboteren.

“Dergelijke aanvallen omvatten het vervalsen van sensormetingen, het uitschakelen van veiligheidsalarmen en het manipuleren van fysieke actuatoren”, aldus de onderzoekers. “De opkomst van webtechnologie in industriële controleomgevingen heeft nieuwe beveiligingsproblemen geïntroduceerd die niet aanwezig zijn in het IT-domein of in IoT-apparaten voor consumenten.”

De nieuwe webgebaseerde PLC-malware heeft aanzienlijke voordelen ten opzichte van bestaande PLC-malwaretechnieken, zoals platformonafhankelijkheid, gebruiksgemak en een hoger persistentieniveau, waardoor een aanvaller heimelijk kwaadaardige acties kan uitvoeren zonder controlelogica-malware te hoeven inzetten.

Om OT- en ICS-netwerken te beveiligen, wordt geadviseerd om de blootstelling van systeeminformatie te beperken, externe toegangspunten te controleren en te beveiligen, de toegang tot netwerk- en controlesysteemapplicatietools en -scripts te beperken tot legitieme gebruikers, periodieke beveiligingsbeoordelingen uit te voeren en een dynamische netwerkomgeving te implementeren.

Thijs Van der Does