Censys nimmt seine Aufgabe ernst, ein guter Verwalter des Internets zu sein. Wir setzen uns aktiv mit den Organisationen in Verbindung, die von den folgenden Erkenntnissen betroffen sein könnten. Im Rahmen unserer Sorgfaltspflicht werden alle Untersuchungen von Censys so durchgeführt und weitergegeben, dass die öffentliche Sicherheit Vorrang hat. Das bedeutet, dass wir hochsensible Informationen in unseren öffentlichen Berichten zurückhalten und niemals Organisationen nennen, die von unseren Erkenntnissen negativ betroffen sein könnten.
Einführung
Industrielle Kontrollsysteme (ICS) sind ein wichtiger Bestandteil kritischer Infrastrukturen, die für die Regulierung der Strom- und Wasserversorgung und anderer wichtiger Ressourcen für die Kommunen verantwortlich sind. Angesichts der wichtigen Dienste, die sie ermöglichen, ist es unglaublich wichtig, dass diese Systeme ohne Unterbrechung laufen.
Daher sind diese Geräte und Systeme zunehmend attraktive Ziele für Bedrohungsakteure, insbesondere für staatlich unterstützte Akteure, die Chaos verursachen oder den Grundstein für künftige strategische Angriffe legen wollen. Wie eine neue Studie von Censys über ICS und andere Geräte der Betriebstechnologie (OT) zeigt, machen es einige Geräte mit Internetanschluss den Angreifern allzu leicht, aktiv zu werden. Diese anfälligen ICS spiegeln die größeren Sicherheitsprobleme wider, mit denen über das Internet verbundene kritische Infrastruktursysteme in den Vereinigten Staaten konfrontiert sind.
Die kommunale Wasserbehörde von Aliquippa Hack
Am 25. November 2023 entdeckte die städtische Wasserbehörde von Aliquippa, Pennsylvania, dass sie von einer mit dem iranischen Korps der Islamischen Revolutionsgarden (IRGC) verbundenen Hackergruppe angegriffen worden war. Die als CyberAv3ngers bekannte Gruppe übernahm die Kontrolle über ein Wasserdrucküberwachungs- und -regulierungssystem in einer entfernten Pumpstation und verunstaltete die Systemschnittstelle mit einer anti-israelischen Botschaft. In dem CISA-Bericht heißt es: "Die Bedrohungsakteure kompromittierten Unitronics Vision Series PLCs mit Human Machine Interfaces (HMI). Diese kompromittierten Geräte wurden mit Standardpasswörtern öffentlich dem Internet ausgesetzt und sind standardmäßig über den TCP-Port 20256 erreichbar". Die CyberAv3ngers begannen im Zuge des Konflikts in der Region, die in Israel hergestellten Unitronics PLCs ins Visier zu nehmen, und erklärten sich für mehrere Angriffe auf Unitronics-Geräte weltweit verantwortlich.
Screenshot von einem betroffenen Gerät über VNC
Die Behebung des Angriffs in Aliquippa erforderte zwar manuelle Arbeit von Mitarbeitern der Wasserbehörde, hatte aber Berichten zufolge keine Auswirkungen auf die Wasserversorgung oder -qualität der Kunden. Die Folgen eines solchen Angriffs sind jedoch gravierend, insbesondere wenn man bedenkt, wie viele dieser und anderer ICS-Geräte dem öffentlichen Internet ausgesetzt sind.
Angesichts der potenziellen Auswirkungen machte sich Censys auf die Suche nach weiteren gefährdeten Unitronics-Geräten und -Dienstleistungen im Zusammenhang mit Wasser-, Abwasser- und Energiesystemen in den Vereinigten Staaten.
Unitronics-Belichtungen
Daten vom 2024-01-25; Orange: Echte Geräte; Blau: Verdächtige Honeypots
Censys hat in den Vereinigten Staaten insgesamt 149 Unitronics-Geräte und -Dienste beobachtet, die dem Internet ausgesetzt waren und auf denen eine Kombination der folgenden Funktionen ausgeführt wurde:
- 39 PCOM-Dienste
- 94 API-Endpunkte
- 96 Web-Verwaltungsbereiche
- 95 mit offenem VNC, von denen 3 keine Authentifizierung erforderten
Bei den meisten dieser dem Internet ausgesetzten PLCs handelt es sich um Remote-Geräte, die über LTE oder 5G verbunden sind. Obwohl es in einigen Fällen sinnvoll sein kann, dass diese Geräte mit dem Internet verbunden sind, sollten sie immer durch ein virtuelles privates Netzwerk (VPN) oder hinter einer Firewall mit eingeschränktem Zugriff geschützt werden.
Die CISA hat empfohlen , dass Unternehmen diese Geräte vom Internet trennen. Wenn jedoch ein Fernzugriff erforderlich ist, sollten die Administratoren laut CISA:
"Implementieren Sie eine Firewall/VPN vor der SPS, um den Netzwerkzugriff auf die entfernte SPS zu kontrollieren. Ein VPN- oder Gateway-Gerät kann eine Mehrfaktor-Authentifizierung für den Fernzugriff ermöglichen, selbst wenn die SPS keine Mehrfaktor-Authentifizierung unterstützt. Unitronics verfügt auch über ein sicheres zellularbasiertes Langstreckentransportgerät, das eine sichere Verbindung zu ihren Cloud-Diensten ermöglicht."
Bei der Bewertung dieser Unitronics-Geräte und -Dienste stellen wir fest, dass sie in mehreren Richtungen problematisch sind: ungeschützte Protokolle, ungeschützte Web-Kontrollfelder und ungeschütztes VNC.
PCOM-Protokoll Expositionen
PCOM ist ein proprietäres Unitronics-Protokoll, das Anwendungen die Interaktion mit SPS-Geräten ermöglicht. Informationen wie Gerätemodellname, Hardwareversion, Betriebssystem-Build-Nummer und Betriebssystemversionsnummer können über die Interaktion mit dem PCOM-Protokoll ermittelt werden. Ein Bedrohungsakteur könnte dieses Protokoll verwenden, um prozessbezogene Werte und zugrunde liegende Ein- und Ausgänge abzufragen, die dazu verwendet werden könnten, Gerätekonfigurationen zu ändern oder den SPS-Betrieb vollständig zu unterbrechen.
Gefahren oder Honeypots?
Die gute Nachricht ist, dass viele der exponierten PCOM-Dienste, die wir in den USA beobachten, Honeypots zu sein scheinen - Dummy-Server, die echte Internet-Hosts imitieren sollen. Tatsächlich schätzen wir, dass nur 32 % der PCOM-Dienste in den USA echte Geräte sind. Die Tatsache, dass es so viele Honeypots gibt, ist nicht unbedingt unerwartet, da die Forscher wahrscheinlich versuchen, nach den jüngsten Angriffen mehr Informationen zu sammeln. Es ist jedoch ein wenig überraschend, dass so viele der insgesamt beobachteten PCOM-Dienste Honeypots zu sein scheinen.
Panel-Passwörter sind ein Problem
Unitronics PLC Web Control Panels sind mit einem Standardpasswort "1111" programmiert. Standardkennwörter stellen ein inhärentes Sicherheitsrisiko dar, und die CISA hat vor kurzem einen Ratschlag veröffentlicht, in dem Unternehmen aufgefordert werden, diese nicht mehr zu verwenden. Bemerkenswerterweise wurden die Standard-Anmeldedaten vieler dieser Web Control Panels nie von den Systemadministratoren geändert. Da diese Geräte auch dem öffentlichen Internet ausgesetzt sind, stellt diese mangelhafte Passwortsicherheit ein besonders großes Sicherheitsrisiko dar.
VNC: Zusätzliche Angriffsfläche
Unitronics-SPSen ermöglichen auch den Fernzugriff auf die Mensch-Maschine-Schnittstelle (HMI) über VNC. Als bewährte Praxis sollte VNC nicht dem öffentlichen Internet ausgesetzt sein und immer eine Authentifizierung erfordern. Offenes VNC, insbesondere in Kombination mit schwachen oder fehlenden Passwörtern, bietet Bedrohungsakteuren die Möglichkeit, auf triviale Weise Schaden anzurichten oder den Betrieb zu stören.
Andere OT-Expositionen
Daten vom 2024-01-25; S7-, DNP3-, CODESYS-, PCOM- und IEC 60870-5-104-Dienste werden in den USA beobachtet.
Diese problematischen Gefährdungen gehen über die Wasser- und Unitronics-Dienste und -Geräte hinaus. Censys hat auch festgestellt, dass es Gefährdungen bei einer Reihe von anderen internetbasierten OT-Diensten gibt, die mit kritischen Infrastrukturbereichen wie der Energieversorgung zusammenhängen.
Censys beobachteten die folgenden Expositionen in einer Auswahl von OT-Protokollen:
Obwohl diese Geräte für die Öffentlichkeit zugänglich sind, kann es eine Herausforderung sein, festzustellen, wem sie gehören. Dies liegt daran, dass viele dieser Geräte über LTE/5G-Mobilfunk-Router in Mobilfunknetzen betrieben werden, die Details über den Gerätebesitz verschleiern.
Censys war jedoch in der Lage, die Eigentumsverhältnisse für eine Reihe der gefährdeten Geräte zu ermitteln, und hat bisher über 20 Organisationen über ihr Gefährdungsrisiko informiert.
Das größere Problem
Die Schwachstellen, die wir bei Unitronics-Diensten und -Geräten sowie bei anderen OT-Systemen festgestellt haben, tragen zu einer umfassenderen Diskussion über den Zustand der Sicherheit kritischer Infrastrukturen in den USA bei. Viele Geräte kritischer Infrastrukturen sind einfach "im" Internet und können ohne die richtigen Maßnahmen zu leichten Einstiegspunkten für nationalistische Gruppen und andere Gegner werden, die Schaden anrichten wollen.
In einer Anhörung des Sonderausschusses des Repräsentantenhauses warnte FBI-Direktor Christopher Wray, dass von der chinesischen Regierung unterstützte Hacker es auf Wasseraufbereitungsanlagen, elektrische Infrastrukturen sowie Öl- und Gaspipelines abgesehen haben. Während derselben Anhörung wies CISA-Direktorin Jen Easterly auf grundlegende Mängel in der Technologie für kritische Infrastrukturen hin und erklärte den Gesetzgebern: "Leider ist die Technologie, die unsere kritischen Infrastrukturen untermauert, von Natur aus unsicher, da Softwareentwickler jahrzehntelang nicht für fehlerhafte Technologie haftbar gemacht wurden. Das hat zu Anreizen geführt, bei denen Funktionen und eine schnelle Markteinführung Vorrang vor der Sicherheit haben, was unsere Nation anfällig für Cyberangriffe macht. Das muss aufhören."
Sicherheitsmängel in der Technologie sind nur ein Teil des Problems. Ein weiteres Problem sind die fehlenden Qualifikationen der Administratoren. Viele kleine Kommunal- und Stadtverwaltungen arbeiten mit unglaublich schlanken Teams und verfügen nicht über genügend Personal für eine spezielle IT-Abteilung. Infolgedessen werden Dienste, die mit kritischen Infrastrukturen verbunden sind, von OT-Teams bereitgestellt, die nicht über die erforderlichen Sicherheitskenntnisse verfügen, um angemessene Kontrollen durchzuführen. Die Häufigkeit von Standardpasswörtern, die auf den Web-Kontrollfeldern von Unitronics hinterlassen werden, verdeutlicht dies sehr gut.
Diese Herausforderungen fordern Gesetzgeber und Entscheidungsträger auf allen Regierungsebenen dazu auf, über Möglichkeiten zur besseren Regulierung und Sicherung von Geräten nachzudenken.
Um die ICS-Belastungen in Ihrer Region oder in Ihrem IP-Bereich zu sehen, können Sie sich auf Censys Search gehen und mit der folgenden Abfrage beginnen: labels: ics