Non classé

Hacking d'API via son logiciel d'ingénierie – Bien installer son serveur

Par Titanfall , le 7 août 2020 - 6 minutes de lecture

[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]

Un chercheur du DEF CON démontrera une menace croissante pour les réseaux de contrôle industriels.

Les attaquants n'ont pas besoin de pirater directement un automate programmable (PLC) pour effacer un processus industriel: ils peuvent cibler les fichiers de configuration et basculer à partir de là.

Au cours de l'année écoulée, les chercheurs ont découvert des failles facilement exploitables dans les soi-disant fichiers de projet contenus dans le logiciel de système de contrôle industriel (SCI) pour les API. Nadav Erez, chef d'équipe de recherche chez Claroty, démontrera aujourd'hui à DEF CON une telle attaque sur un fichier de projet PLC, celle du logiciel Phoenix Contact de PLCnext Engineer, que les ingénieurs utilisent pour configurer l'automate du fournisseur. Le logiciel de fichier de projet vulnérable de Phoenix Contact, qui a été récemment mis à jour, est le dernier d'une série de programmes de ce type de fournisseurs d'API corrigés pour les bogues, notamment Mitsubishi, Rockwell, Schneider et Siemens.

Les fichiers ou répertoires de projet API sont créés dans le logiciel d'ingénierie du fournisseur d'API pour configurer les paramètres de l'API – y compris la logique qui le programme pour contrôler les machines ou les processus industriels. Le logiciel ICS, qui est stocké sur l'ordinateur ou le serveur de fichiers d'un ingénieur, gère les fichiers de projet pour les automates lorsqu'ils sont programmés par l'ingénieur. «L'automate fonctionne tout seul … mais si vous apportez des modifications au fichier de projet, vous le téléchargerez probablement sur l'automate pour qu'il soit à jour avec la dernière configuration», déclare Erez.

C'est également un moyen relativement plus simple pour un attaquant d'accéder à un automate. «La barrière pour attaquer les automates est d'obtenir les automates», dit-il.

La vulnérabilité dans les versions 1046008 2020.3.1 et antérieures de PLCnext Engineer concerne la façon dont le répertoire restreint est disponible dans le logiciel afin qu'un attaquant puisse modifier le chemin de ce fichier. Les paramètres de construction d'un projet peuvent être exploités afin qu'un attaquant puisse exécuter du code malveillant via ces fichiers.

Voici comment une attaque peut se dérouler: un attaquant doit d'abord obtenir le logiciel ICS associé à un produit PLC spécifique, ce qui, selon Erez, est relativement facile à acheter en ligne. L'attaquant pourrait alors écrire des scripts et éditer manuellement un fichier pour ajouter des attributs malveillants, dit-il.

L'étape suivante, et sans doute la plus difficile, consiste à convaincre l'ingénieur de l'organisation ciblée d'ouvrir le fichier de projet truqué. Il s'agit d'un exercice d'ingénierie sociale, soit par e-mail de phishing, soit même dans un forum d'assistance en ligne. L'attaquant pourrait se faire passer pour un autre ingénieur ayant des difficultés à ouvrir un fichier de projet, un scénario qu'Erez décrit comme suit: "J'ai ce fichier de projet et ma version logicielle ne l'ouvre pas. Pouvez-vous m'aider? J'ai vu sur LinkedIn que vous êtes ingénieur qui travaille avec les appareils Phoenix Contact … peut-être pouvez-vous me dire quel était le problème? & # 39; "

Si l'ingénieur tombe dans l'intoxication, télécharge le fichier puis l'ouvre via son logiciel d'ingénierie, l'attaquant est partant. "Contrairement à l'ouverture d'un document ou d'un lien classique, lorsque vous ouvrez un fichier de projet, vous devez le faire depuis un ordinateur connecté. à un segment critique du réseau … l'ordinateur sur lequel vous avez installé le logiciel ICS », dit-il. Cela amène l'attaquant au serveur ICS – et une ligne directe vers l'automate.

«Si vous avez accès aux automates, il y a pas mal de jeux pour les automates», explique Erez.

Le point le plus brillant concernant les vulnérabilités dans le fichier de projet API est qu'elles peuvent être résolues via un logiciel. «Il n'y a pas de matériel ou de micrologiciel sur les API, il est donc beaucoup plus facile de publier des mises à jour et pour les ingénieurs de mettre à jour le logiciel», dit-il.

Erez dit que Claroty a signalé des dizaines de ces fichiers de projet aux fournisseurs ICS, et que jusqu'à récemment, il s'agissait d'une vulnérabilité moins étudiée.

La détection d'une attaque de fichier de projet API nécessitera une surveillance du réseau pour détecter toute activité inhabituelle autour de l'API ainsi qu'une protection avancée des terminaux pour les serveurs Windows exécutant le logiciel ICS.

«Nous voulons que les ingénieurs ICS sachent que ces fichiers peuvent contenir des vulnérabilités», a déclaré Erez, qui présentera cette recherche au DEF CON ICS Village.

Contenu connexe

Kelly Jackson Higgins est la rédactrice en chef de Dark Reading. Elle est une journaliste chevronnée dans le domaine de la technologie et des affaires, avec plus de deux décennies d'expérience dans la rédaction et la rédaction de diverses publications, notamment Network Computing, Secure Enterprise … Voir la bio complète

Lecture recommandée:

Plus d'informations

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.