ICS Security Attack maakt afstandsbediening van gebouwen mogelijk

Die marketingpoëzie verwijst naar de mogelijkheden van het enteliBUS-besturingssysteem van Delta Controls.

Het illustreert ook waarom gemak, net als complexiteit, vijanden van veiligheid wordt genoemd.

Het gebruiksgemak dat verbonden industriële systemen bieden, kan ze ook tot een enkel storingspunt maken bij een cyberaanval, waardoor een tegenstander mogelijk controle krijgt over industriële activa en gebouwen. Een hacker die zich op een dergelijk systeem richt, kan bijvoorbeeld de verwarming of koeling van een HVAC-systeem ontmantelen tijdens extreme weersomstandigheden. Een dergelijke ICS-beveiligingsexploit kan er ook voor zorgen dat de temperatuur in een productiefaciliteit of een datacenter stijgt. Netwerkverlichting en toegangscontrolesystemen zouden ook een eerlijk spel zijn. Omdat de enteliBUS-manager en andere vergelijkbare producten programmeerbare BACnet-controllers zijn, kunnen potentiële doelen van dergelijke systemen vrijwel elke bedrijfs- of industriële omgeving in een gebouw omvatten. Een blogpost van McAfee wijst er ook op dat dergelijke BACnet-systemen worden gebruikt om de overdrukkamer binnen een ziekenhuis te regelen. Deze kamer is verantwoordelijk om te voorkomen dat verontreinigingen de operatiekamers binnenkomen.

Op het podium van McAfee MPOWER toonde Doug McKee, een senior beveiligingsonderzoeker bij het bedrijf, het potentieel van een zero-day exploit gericht op het enteliBUS-systeem in een live demo. "Een van de dingen die we hebben kunnen doen, is deze kwetsbaarheid 100% op afstand uitbuiten", zegt McKee.

[ Industriële IoT-wereld is het evenement waar bedrijven leren hoe ze IIoT kunnen schalen voor integratie, innovatie en winst. Bespaar $ 200 op uw conferentiepas met VIP-code " IOTWORLDTODAY .”]

De schade aantonen

In een demo op het podium demonstreerde McKee hoe gemakkelijk het is om misbruik te maken van de kwetsbaarheid CVE-2019-9569, waarvoor een patch beschikbaar is. Met een gesimuleerd datacenter dat was opgetuigd voor het evenement, zei McKee dat een aanvaller die de exploit gebruikt, genetwerkte pompen, kleppen en ventilatoren in het denkbeeldige HVAC-systeem van het datacenter kan besturen.

Een samenvatting van de ICS-beveiligingskwetsbaarheid in de National Vulnerability Database geeft ook aan dat het een hacker in staat zou kunnen stellen om ook een denial of service-aanval uit te voeren. Het onderliggende probleem dat de aanval mogelijk maakte, had te maken met een inconsistentie in het beheer van netwerkverkeer, waardoor een bufferoverloop ontstond, een kwetsbaarheidstype dat de Amerikaanse overheid documenteerde in een Computer Security Technology Planning Study uit 1972. Volgens Wikipedia was het eerste gedocumenteerde geval van een bufferoverloopaanval in het wild in 1988. 

In de podiumpresentatie op McAfee MPOWER liet McKee zien hoe malware die was ontwikkeld om de kwetsbaarheid te misbruiken, hem in staat stelde HVAC-bedieningen en een alarm in en uit te schakelen via een omgekeerde shell. Een alarm dat op een dergelijk systeem is aangesloten, kan worden gekoppeld aan een beveiligingsinformatie- en gebeurtenisbeheersysteem, of een alarm sturen naar een facilitair manager via een sms of e-mailbericht. "Met een paar toetsaanslagen kan ik doorgaan en het alarm aanzetten", zei McKee. In een toespraak tot McKee op het podium zei Steve Grobman, Chief Technology Officer van McAfee:"Als je je gevoel voor humor kent, zou je waarschijnlijk op de parkeerplaats zitten, en wanneer de persoon die verantwoordelijk is voor [de datacenterfaciliteit] binnenkomt, zou je waarschijnlijk zet het alarm weer uit.”

Maar hackers kunnen sluwere aanvallen uitvoeren die meer bereiken dan alleen maar vervelende onderhouds- en faciliteitenbeheermedewerkers. Voor een vloeistofgekoeld datacenter of een faciliteit met een stookruimte of een watergekoeld HVAC-systeem kan een aanvaller bijvoorbeeld de netwerkpompen naar believen uitschakelen. “Mijn HVAC thuis gebruikt geen waterpompen, maar industriële systemen wel. En ze bieden kritische koeling voor bedrijfskritieke componenten”, aldus Grobman.

Na de pompdemonstratie ging McKee verder met het uitschakelen van de demper van het HVAC-systeem om de luchtstroom te blokkeren, gevolgd door het afsluiten van een klep.

Het beveiligingslek zou een aanvaller ook in staat stellen om gegevens te manipuleren, temperatuurmetingen of andere variabelen te wijzigen.

Actie op afstand

Omdat de ICS-beveiligingsaanval via internet kan worden geëxploiteerd, zou een kwaadwillende zo'n exploit in principe overal kunnen uitvoeren. Volgens een McAfee-blogpost waren er 1.600 enteliBUS Manager-apparaten die werden weergegeven in een zoekopdracht in augustus op de IoT-zoekmachine Shodan.io. Een zoekopdracht naar "eBMGR" op 4 oktober leverde bijna 500 van dergelijke apparaten op, waarvan het grootste deel in Noord-Amerika. Shodan markeerde echter een deel van die apparaten als honeypots. Op een aantal van de eBMGR-apparaten die op Shodan werden weergegeven, was firmwareversie 3.40.571848 geïnstalleerd, de kwetsbare versie die McAfee in zijn laboratoria gebruikte. Waarschijnlijk lopen apparaten die eerdere firmware gebruiken ook risico.

McAfee deelde zijn onderzoek naar de eBMGR-apparaten voor het eerst met Delta Controls op 7 december 2018. Delta Controls reageerde binnen enkele weken op de kwetsbaarheidsonthulling van McAfee en bracht, zoals eerder vermeld, een patch uit om deze exploit aan te pakken. "Toen die patch klaar was voor gebruik, hebben ze hem naar ons teruggestuurd en ik heb persoonlijk geverifieerd dat deze deze kwetsbaarheid 100% verhelpt", zei McKee.