Censys prend au sérieux sa mission de bon gestionnaire de l'internet. Nous prenons activement contact avec les organisations qui, selon nous, pourraient être affectées par les résultats suivants. Dans le cadre de notre devoir de diligence, toutes les recherches menées sur le site Censys sont effectuées et partagées de manière à donner la priorité à la sécurité publique. Cela signifie que nous ne divulguons pas d'informations très sensibles dans nos rapports publics et que nous ne citons jamais le nom d'organisations susceptibles d'être affectées par nos conclusions.
Introduction
Les systèmes de contrôle industriel (SCI) constituent une partie essentielle de l'infrastructure critique, responsable de la régulation de l'électricité, de l'eau et d'autres ressources essentielles fournies aux municipalités. Compte tenu des services essentiels qu'ils facilitent, il est extrêmement important que ces systèmes fonctionnent sans interruption de service.
Ces dispositifs et systèmes sont donc des cibles de plus en plus attrayantes pour les acteurs de la menace, en particulier les acteurs soutenus par des États, qui cherchent à provoquer le chaos ou à préparer le terrain pour de futures attaques stratégiques. Comme le montre une nouvelle étude menée par Censys sur les systèmes de contrôle de l'eau et d'autres dispositifs de technologie opérationnelle, certains dispositifs connectés à l'internet permettent à des adversaires de passer trop facilement à l'action. Ces SCI vulnérables reflètent les problèmes de sécurité plus vastes auxquels sont confrontés les systèmes d'infrastructures critiques connectés à l'internet dans l'ensemble des États-Unis.
L'autorité municipale de l'eau d'Aliquippa Hack
Le 25 novembre 2023, le service municipal des eaux d'Aliquippa, en Pennsylvanie, a découvert qu'il avait été compromis par un groupe de pirates informatiques affilié au Corps des gardiens de la révolution islamique iranien (IRGC ). Le groupe, connu sous le nom de CyberAv3ngers, a pris le contrôle d'un système de contrôle et de régulation de la pression de l'eau dans une station de pompage distante, en défigurant l'interface du système avec un message anti-israélien. Selon l'avis de la CISA, "les auteurs de la menace ont compromis des automates programmables Unitronics de la série Vision dotés d'interfaces homme-machine (IHM). Ces dispositifs compromis ont été publiquement exposés à l'internet avec des mots de passe par défaut et sont par défaut sur le port TCP 20256". Les CyberAv3ngers ont commencé à cibler les automates Unitronics fabriqués en Israël à la suite du conflit dans la région, revendiquant la responsabilité de multiples attaques contre des appareils Unitronics dans le monde entier.
Capture d'écran d'un appareil concerné via VNC
Bien que le rétablissement de l'attaque à Aliquippa ait nécessité un travail manuel de la part des employés de la Water Authority, il n'y aurait eu aucun effet sur le service ou la qualité de l'eau pour les clients. Toutefois, les implications d'une telle attaque sont considérables, surtout si l'on considère le nombre d'appareils ICS exposés à l'internet public.
Compte tenu de l'impact potentiel, Censys a entrepris d'identifier d'autres appareils et services d'Unitronics exposés, associés aux systèmes d'eau, d'eaux usées et d'énergie aux États-Unis.
Expositions Unitronics
Données de 2024-01-25 ; Orange : Dispositifs réels ; Bleu : pots de miel présumés
Censys a observé un total de 149 appareils et services Unitronics exposés à l'Internet aux États-Unis, utilisant une combinaison des éléments suivants :
- 39 Services PCOM
- 94 points d'accès à l'API
- 96 panneaux d'administration Web
- 95 avec VNC exposé, dont 3 ne nécessitaient pas d'authentification
La plupart de ces automates exposés à l'internet sont des appareils distants connectés via LTE ou 5G. Si, dans certains cas, il peut être raisonnable que ces appareils soient connectés à l'internet, ils devraient toujours être protégés par un réseau privé virtuel (VPN) ou derrière un pare-feu dont l'accès est restreint.
La CISA a conseillé aux organisations de déconnecter ces appareils de l'internet. Toutefois, si l'accès à distance est nécessaire, la CISA indique que les administrateurs doivent :
"Mettre en place un pare-feu/VPN devant l'automate pour contrôler l'accès au réseau de l'automate distant. Un VPN ou un dispositif de passerelle peut permettre une authentification à plusieurs facteurs pour l'accès à distance, même si l'automate ne prend pas en charge l'authentification à plusieurs facteurs. Unitronics dispose également d'un dispositif de transport long-courrier sécurisé basé sur la téléphonie cellulaire, qui est sécurisé par leurs services en nuage.
En évaluant ces appareils et services Unitronics, nous constatons qu'ils sont confrontés à des problèmes dans plusieurs directions : protocoles exposés, panneaux de contrôle web exposés et VNC exposé.
Protocole PCOM Expositions
PCOM est un protocole propriétaire d'Unitronics qui permet aux applications d'interagir avec les dispositifs PLC. Des informations telles que le nom du modèle de l'appareil, la version du matériel, le numéro de construction du système d'exploitation et le numéro de version du système d'exploitation peuvent être obtenues via l'interaction avec le protocole PCOM. Un acteur menaçant pourrait utiliser ce protocole pour interroger les valeurs liées au processus et les entrées et sorties sous-jacentes, ce qui pourrait être utilisé pour modifier les configurations de l'appareil ou perturber complètement le fonctionnement de l'automate.
Risques ou pots de miel ?
La bonne nouvelle, c'est qu'un grand nombre des services PCOM exposés que nous observons aux États-Unis semblent être des pots de miel, c'est-à-dire des serveurs factices utilisés pour imiter de véritables hôtes Internet. En fait, nous estimons que seuls 32 % des services PCOM aux États-Unis sont de véritables dispositifs. Le fait qu'il y ait autant de pots de miel n'est pas nécessairement inattendu, car les chercheurs essaient probablement de collecter davantage d'informations à la suite des récentes attaques. Cependant, il est un peu surprenant qu'une si grande partie du nombre total de services PCOM que nous voyons semble être des pots de miel.
Les mots de passe des panels posent problème
Les panneaux de contrôle Unitronics PLC web sont programmés avec un mot de passe par défaut "1111". Les mots de passe par défaut constituent un risque de sécurité inhérent, et la CISA a récemment publié un avis invitant les organisations à ne plus les utiliser. Il est remarquable que les administrateurs de ces systèmes n'aient jamais modifié les identifiants par défaut de bon nombre de ces panneaux de contrôle web. Étant donné que ces dispositifs sont également exposés à l'internet public, cette mauvaise sécurité des mots de passe présente un risque de sécurité particulièrement important.
VNC : une surface d'attaque supplémentaire
Les automates Unitronics permettent également l'accès à distance à l'interface homme-machine (IHM) via VNC. Selon les meilleures pratiques, VNC ne devrait pas être exposé à l'internet public et devrait toujours nécessiter une authentification. Un VNC exposé, en particulier lorsqu'il est associé à des mots de passe faibles ou inexistants, fournit aux acteurs de la menace des moyens de causer des dommages ou de perturber les opérations de manière triviale.
Autres expositions OT
Données du 2024-01-25 ; services S7, DNP3, CODESYS, PCOM et IEC 60870-5-104 observés aux États-Unis.
Ces expositions problématiques ne se limitent pas aux services et dispositifs liés à l'eau et à Unitronics. Censys a également observé que des expositions étaient présentes dans un certain nombre d'autres services OT orientés vers l'internet et liés à des secteurs d'infrastructures critiques, tels que l'énergie.
Censys a observé les expositions suivantes dans une sélection de protocoles d'OT :
Bien que ces appareils soient accessibles au public, il peut s'avérer difficile de déterminer qui en est le propriétaire. En effet, nombre de ces appareils fonctionnent sur des routeurs mobiles LTE/5G sur des réseaux mobiles, ce qui obscurcit les détails concernant la propriété de l'appareil.
Cependant, Censys a été en mesure de déterminer la propriété d'un certain nombre de dispositifs exposés et, à ce jour, a notifié plus de 20 organisations de leur risque d'exposition.
Un enjeu plus large
Les risques que nous avons observés dans les services et dispositifs d'Unitronics et dans d'autres systèmes OT contribuent à une conversation plus large sur l'état de la sécurité des infrastructures critiques aux États-Unis. De nombreux dispositifs d'infrastructures critiques sont simplement "sur" l'internet et, sans les bonnes mesures en place, peuvent devenir des points d'entrée faciles pour des groupes d'États-nations et d'autres adversaires qui cherchent à faire du mal.
Lors d'une récente audition devant le House Select Committee, Christopher Wray, directeur du FBI, a averti que des pirates informatiques soutenus par le gouvernement chinois s'en prenaient aux stations d'épuration, aux infrastructures électriques et aux oléoducs et gazoducs. Lors de cette même audition, la directrice de la CISA, Jen Easterly, a mis l'accent sur les faiblesses fondamentales de la technologie des infrastructures critiques, déclarant aux législateurs : "Malheureusement, la technologie qui sous-tend nos infrastructures critiques est intrinsèquement peu sûre, car depuis des décennies, les développeurs de logiciels ne sont pas tenus pour responsables des technologies défectueuses. Cela a conduit à des incitations où les caractéristiques et la rapidité de mise sur le marché ont été privilégiées par rapport à la sécurité, rendant notre pays vulnérable aux cyber-invasions. Cela doit cesser.
Les failles de sécurité dans la technologie ne sont qu'une partie du problème. Les lacunes en matière de compétences des administrateurs posent un autre problème. De nombreuses petites administrations locales et municipales fonctionnent avec des équipes incroyablement réduites et manquent de personnel pour se consacrer à l'informatique. En conséquence, les services liés à l'infrastructure critique sont déployés par des équipes d'OT qui ne disposent pas de l'expertise en matière de sécurité nécessaire pour mettre en œuvre les contrôles adéquats. La prévalence des mots de passe par défaut laissés sur les panneaux de contrôle web d'Unitronics illustre bien ce phénomène.
Ces défis invitent les législateurs et les décideurs à tous les niveaux de gouvernement à envisager des moyens de mieux réglementer et protéger les dispositifs.
Pour connaître l'exposition aux ICS dans votre région ou dans votre plage d'adresses IP, vous pouvez vous rendre sur le site Censys Search et commencer par la requête suivante : labels : ics