A Rockwell Automation está solicitando que seus clientes desconectem todos os sistemas de controle industrial (ICSs) que não devem ser conectados à internet de forma pública para mitigar atividades cibernéticas não autorizadas ou maliciosas.
A empresa afirmou que está emitindo o aviso devido a “tensões geopolíticas e atividades cibernéticas adversárias globalmente”.
Para isso, os clientes devem agir imediatamente para determinar se possuem dispositivos acessíveis pela internet e, caso afirmativo, cortar a conectividade daqueles que não devem ficar expostos.
“A configuração dos ativos para conexão direta com a internet pública nunca deve ser feita”, adicionou a Rockwell Automation.
“Remover essa conectividade como uma medida proativa reduz a superfície de ataque e pode imediatamente reduzir a exposição a atividades cibernéticas não autorizadas e maliciosas de atores de ameaças externas”.
Além disso, as organizações devem garantir que adotaram as mitigações e atualizações necessárias para se proteger contra as seguintes falhas que impactam seus produtos.
O alerta também foi compartilhado pela Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, que também recomenda que usuários e administradores sigam as medidas apropriadas no guia para reduzir a exposição.
Isso inclui um aviso de 2020, emitido em conjunto pela CISA e pela Agência de Segurança Nacional (NSA), alertando sobre atores maliciosos explorando ativos de tecnologia operacional acessíveis pela internet para realizar atividades cibernéticas que poderiam representar ameaças severas à infraestrutura crítica.
Atacantes também foram vistos se conectando a controladores lógicos programáveis (PLCs) expostos publicamente e modificando a lógica de controle para acionar comportamentos indesejáveis.
De fato, uma pesquisa recente realizada por um grupo de acadêmicos do Instituto de Tecnologia da Geórgia no Simpósio NDSS em março de 2024 descobriu que é possível realizar um ataque estilo Stuxnet comprometendo a aplicação web (ou interfaces homem-máquina) hospedadas pelos servidores web embutidos nos PLCs.
Isso envolve a exploração da interface baseada na web do PLC usada para monitoramento remoto, programação e configuração para obter acesso inicial e, em seguida, aproveitar as interfaces de programação de aplicativos (APIs) legítimas para sabotar a maquinaria do mundo real subjacente.
“Tais ataques incluem falsificação de leituras de sensores, desativação de alarmes de segurança e manipulação de atuadores físicos”, disseram os pesquisadores. “A emergência da tecnologia web em ambientes de controle industrial introduziu novas preocupações de segurança que não estão presentes no domínio de TI ou em dispositivos IoT de consumidor”.
O novo Malware baseado na web para PLCs apresenta vantagens significativas em relação às técnicas de malware existentes para PLCs, como independência de plataforma, facilidade de implantação e níveis mais elevados de persistência, permitindo que um atacante realize ações maliciosas de forma encoberta sem precisar implantar malware de lógica de controle.
Para garantir a segurança de redes OT e ICS, é aconselhável limitar a exposição das informações do sistema, auditar e proteger os pontos de acesso remoto, restringir o acesso às ferramentas de rede e controle do sistema a usuários legítimos, realizar revisões de segurança periódicas e implementar um ambiente de rede dinâmico.
