A Rockwell Automation está instando seus clientes a desconectar todos os sistemas de controle industrial (ICSs) que não estão destinados a serem conectados à internet de frente pública para mitigar atividades cibernéticas não autorizadas ou maliciosas.

A empresa disse que está emitindo o aviso devido a “tensões geopolíticas elevadas e atividades cibernéticas adversárias globalmente”.

Com isso, os clientes são obrigados a tomar medidas imediatas para determinar se têm dispositivos acessíveis pela internet e, caso positivo, cortar a conectividade para aqueles que não devem ficar expostos.

“Os usuários nunca devem configurar seus ativos para serem conectados diretamente à internet de frente pública”, acrescentou a Rockwell Automation.

“Remover essa conectividade como um passo proativo reduz a superfície de ataque e pode reduzir imediatamente a exposição a atividades cibernéticas não autorizadas e maliciosas de atores de ameaças externas”.

Além disso, as organizações devem garantir que adotaram as mitigações e patches necessários para proteger contra as seguintes falhas que afetam seus produtos –

O alerta também foi compartilhado pela Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA), que também recomenda que os usuários e administradores sigam as medidas apropriadas delineadas nas orientações para reduzir a exposição.

Isso inclui um aviso conjunto de 2020 divulgado pela CISA e pela Agência de Segurança Nacional (NSA) alertando para a exploração de atores maliciosos em ativos de tecnologia operacional (OT) acessíveis pela internet para conduzir atividades cibernéticas que poderiam representar sérias ameaças à infraestrutura crítica.

“Atores cibernéticos, incluindo grupos de ameaças persistentes avançadas (APT), têm visado sistemas OT/ICS nos últimos anos para obter ganhos políticos, vantagens econômicas e possivelmente para executar efeitos destrutivos”, observou a NSA em setembro de 2022.

Adversários também foram observados se conectando a controladores lógicos programáveis (PLCs) expostos publicamente e modificando a lógica de controle para desencadear comportamentos indesejáveis.

De fato, uma pesquisa recente apresentada por um grupo de acadêmicos do Instituto de Tecnologia da Geórgia no Simpósio NDSS em março de 2024 descobriu que é possível realizar um ataque no estilo Stuxnet comprometendo a aplicação web (ou interfaces homem-máquina) hospedadas pelos servidores web embutidos nos PLCs.

Isso envolve a exploração da interface web do PLC usada para monitoramento remoto, programação e configuração para obter acesso inicial e depois aproveitar as APIs de aplicação legítimas para sabotar a maquinaria do mundo real subjacente.

“Tais ataques incluem falsificação de leituras de sensores, desativação de alarmes de segurança e manipulação de atuadores físicos”, disseram os pesquisadores. “O surgimento da tecnologia web em ambientes de controle industrial introduziu novas preocupações de segurança que não estão presentes no domínio de TI ou dispositivos IoT de consumo”.

A nova Malware baseada em PLC da web tem vantagens significativas sobre as técnicas de malware PLC existentes, como independência de plataforma, facilidade de implementação e níveis mais altos de persistência, permitindo que um atacante execute ações maliciosas de forma encoberta sem a necessidade de implantar malware de lógica de controle.

Para garantir a segurança de redes OT e ICS, é aconselhável limitar a exposição de informações do sistema, auditar e garantir pontos de acesso remoto, restringir o acesso a ferramentas de rede e sistema de controle e scripts a usuários legítimos, realizar revisões de segurança periódicas e implementar um ambiente de rede dinâmico.