Plus de 2200 personnes potentiellement exposées à une vulnérabilité de haute sévérité
Le réseau d'automatisation et de contrôle des bâtiments (BACnet) est l'un des protocoles SCADA les plus populaires que les systèmes d'automatisation et de contrôle des bâtiments utilisent pour fonctionner. Censys recherche cinq des protocoles SCADA les plus populaires (Modbus, S7, BACnet, DNP3, Tridium Fox) et une recherche rapide montre qu'il y a 16 899 serveurs BACnet accessibles à travers l'Internet.
Les praticiens de la sécurité savent depuis longtemps que ces systèmes de contrôle des bâtiments sont particulièrement risqués du point de vue de la sécurité. À l'instar d'autres dispositifs IoT, nombre de ces serveurs ne sont pas construits de manière sécurisée et sont souvent mal configurés lors de l'installation.
N'oubliez pas non plus que ce chiffre de 16,9 000 ne tient compte que des systèmes de contrôle des bâtiments fonctionnant selon le protocole BACnet, qui est l'un des plus courants pour ces systèmes, mais qu'il ne représente guère une vue d'ensemble des systèmes de contrôle des bâtiments dans leur globalité.
Qu'est-ce que BACnet ?
BACnet a été développé en 1995 par l'American Society of Heating, Refrigerating and Air-Conditioning Engineers pour contrôler les systèmes des bâtiments - pensez aux systèmes CVC, aux commandes d'éclairage, aux dispositifs de détection d'incendie, etc. Le protocole a été créé pour permettre à tous ces dispositifs de fonctionner en synchronisation et d'être contrôlés dans un "langage" unique, quel que soit le fournisseur, pour le partage des données. Les fournisseurs peuvent toutefois spécifier des objets propriétaires, ce qui permet au protocole de s'adapter, mais empêche également les fabricants de jouer ensemble.
La chercheuse Jaspreet Kaur a effectué un travail vraiment solide dans le domaine de la sécurité BACnet et elle affirme que les fabricants ne les mettent pas en œuvre dans la pratique. L'article de Steven T. Bushby, qui retrace l'histoire du protocole, fournit des informations plus complètes sur BACnet. Censys founders a également rédigé un document de recherche sur les dispositifs de contrôle industriel (ICS) qui vaut la peine d'être exploré.
La mise en œuvre de la sécurité appartient à... des entrepreneurs en bâtiment ?
Les dispositifs SCADA sont souvent installés par des entrepreneurs en bâtiment, un groupe généralement différent des groupes informatiques qui comprennent la sécurité et tous les risques liés à des configurations erronées lors de l'installation. Ainsi, ces dispositifs sont souvent mal installés et deviennent une cible assez facile pour les attaquants. La façon dont l'industrie gère les mises à jour des microprogrammes en général, qui nécessitent souvent un processus manuel et un effort important et compliqué de la part des équipes informatiques et de sécurité, peut ajouter aux problèmes de sécurité.
Dans le cas de BACnet et d'autres systèmes de contrôle des bâtiments, il incombe généralement aux entrepreneurs de maintenir ces systèmes et de veiller à ce que les mises à jour de sécurité soient installées en temps voulu. Vous pouvez donc imaginer la fréquence à laquelle des vulnérabilités connues peuvent exister, sans être corrigées, sur ces dispositifs, ce qui les rend largement exploitables.
Impact des attaques BACnet dans le monde réel
L'une des raisons pour lesquelles l'exposition à BACnet est si préoccupante est que ces dispositifs font fonctionner des systèmes critiques tels que les systèmes de détection d'incendie, l'éclairage et les commandes de chauffage, de ventilation et de climatisation dans les bâtiments commerciaux, ce qui signifie qu'une attaque contre ces dispositifs pourrait causer de graves dommages physiques, en plus de les utiliser pour lancer des attaques contre d'autres systèmes informatiques conventionnels. Il existe des histoires assez effrayantes sur la manière dont les systèmes de contrôle des bâtiments pourraient être violés, mais plutôt que d'alimenter ces craintes, nous voulons nous concentrer sur l'impact réel des attaques qui se sont produites dans la nature, afin d'apprendre comment prévenir les futures attaques.
La cible devient une cible très facile (woof, désolé) pour toutes les histoires de compromission des systèmes de contrôle des bâtiments. Dans leur cas, les attaquants sont entrés par l'intermédiaire de la société de CVC, mais il n'est pas exagéré de suggérer que les attaquants auraient également pu accéder à des systèmes BACnet vulnérables (d'autres systèmes SCADA similaires). Nous les utiliserons comme exemple parce que, franchement, il y a beaucoup d'histoires sur les dangers potentiels, mais pas beaucoup de violations connues du public causées directement par un système BACnet non sécurisé.
Dans le cas de Target, la société de CVC était suffisamment connectée pour permettre aux pirates d'accéder aux informations financières de la société et aux données de ses clients. Ainsi, alors qu'une violation du système aurait été préjudiciable à la marque, l'intérêt et l'attention des médias étaient principalement dus aux préoccupations potentielles des consommateurs en matière de finances et de protection de la vie privée résultant de la violation.
Voyons comment trouver ces systèmes BACnet sur Internet, puis filtrer jusqu'à votre organisation particulière afin d'isoler tout ce que vous y trouverez et d'utiliser des outils de sécurité supplémentaires pour atténuer le risque qu'ils représentent pour vous ou votre entreprise.
Systèmes BACnet exposés et vulnérables en ligne aujourd'hui
Les produits basés sur BACnet les plus courants dans nos analyses sont les systèmes Niagara AX et Niagara 4. Nous avons examiné la plus récente CVE-2017-16744 h associée à ces produits et avons constaté que plus de 2000 de ces systèmes seraient affectés par cette vulnérabilité, qui permet l'exécution de code à distance et est notée 7,4 (sur 10) sur l'échelle de gravité.
Il est important de noter que nos données ne déterminent pas si ces systèmes sont patchés. Étant donné que les correctifs prennent du temps et peuvent parfois perturber d'autres systèmes au sein du réseau d'une organisation, nous savons que de nombreux systèmes ne sont jamais corrigés et mis à jour de manière appropriée ou, s'ils le sont, qu'il faut souvent un certain temps avant que ces correctifs ne soient installés. Dans ce contexte, il est probable qu'un grand nombre de ces dispositifs n'ont pas été remédiés à cette CVE.
Recherche de tous les systèmes BACnet dans Censys
Voici une recherche rapide sur Censys pour localiser ces 17 000 systèmes utilisant le protocole BACnet, filtrés par nom de produit. Vous remarquerez que le rapport diminue en nombre, ce qui est dû à quelques 2000 produits BACnet qui ne sont pas nommés avec le fabricant et le produit, pour des raisons inconnues. Quoi qu'il en soit, il s'agit d'un rapport utile qui nous permet d'explorer les produits BACnet les plus populaires et d'évaluer leur niveau de sécurité :
https://censys.io/ipv4?q=protocols%3A+%2247808%2Fbacnet%22
Dans le menu déroulant situé à côté de "Build Report", vous pouvez sélectionner la façon dont vous souhaitez que les données soient affichées (par emplacement, par exemple - plus de 10 000 sont aux États-Unis). C'est en filtrant que l'on s'amuse (comment ça, on est des nerds ?!), et nous vous encourageons donc vivement à jouer avec notre fonction de création de rapport tout en explorant l'utilisation du protocole BACnet.
Pour les entreprises qui essaient de localiser des systèmes BACnet inconnus (ou de surveiller des systèmes connus), vous devriez ajouter "AND autonomous_system.asn :[YOUR AS NUMBER]" au texte de recherche. Par exemple, pour trouver tous les dispositifs BACNet exposés sur les réseaux universitaires (ne vous inquiétez pas, nous avons alerté le REN-ISAC à ce sujet) :
https://censys.io/ipv4?q=tags%3A+%22bacnet%22+AND+autonomous_system.name%3A+%22university+of%22
Atténuer les risques liés aux dispositifs BACnet
Fait rare et positif dans notre secteur, l'État de Pennsylvanie a expliqué comment il gère les systèmes BACnet au sein de son organisation. Reconnaissant que ces services étaient une nécessité (bien qu'épineuse) pour leur université, ils savaient que le simple fait de les supprimer n'allait pas suffire. Leur solution a donc consisté à se concentrer sur la microsegmentation plutôt que sur les réseaux locaux virtuels (VLAN), les pare-feu ou les listes de contrôle d'accès (ACL).
Avec des réseaux universitaires complexes et étendus, cette option a fonctionné pour Penn State et elle est certainement une option pour les entreprises qui dépendent des systèmes BACnet mais qui veulent aussi s'assurer que ces serveurs ne deviennent pas des portes d'entrée dans l'organisation pour les acteurs malveillants.
Définir les principes de base :
- Veillez à ce que les systèmes BACnet communiquent sur un réseau isolé de vos autres systèmes. Il n'y a aucune raison de permettre à vos systèmes de contrôle des bâtiments d'être connectés à votre base de données clients ou à vos systèmes financiers. Cela ne fait qu'ouvrir la porte à des risques de pertes massives de données.
- Réduisez le nombre d'administrateurs ayant des droits d'administration complets sur ces dispositifs. Si possible, confiez le contrôle de vos dispositifs BACnet à l'équipe de sécurité interne de votre entreprise, plutôt qu'aux entreprises de construction avec lesquelles vous travaillez. Appliquez une authentification forte, des connexions TLS ou VPN, et veillez à ce que le provisionnement de l'accès à ces dispositifs soit géré comme vous le feriez pour n'importe quel autre système informatique essentiel à la mission de l'entreprise.
- Déterminez les systèmes qui communiquent entre eux via le protocole BACnet et assurez-vous que ces systèmes sont sécurisés par la mise à jour des correctifs, des configurations, etc.
