Rockwell Automation призывает своих клиентов отключить все промышленные системы управления (ICSS), не предназначенные для подключения к общедоступному Интернету, чтобы предотвратить несанкционированную или вредоносную киберактивность.
Компания заявила, что выпускает рекомендацию из-за "повышенной геополитической напряженности и враждебной киберактивности по всему миру".
С этой целью клиенты должны предпринять немедленные действия, чтобы определить, есть ли у них устройства, доступные через Интернет, и, если да, отключить подключение для тех, которые не должны оставаться незащищенными.
"Пользователям никогда не следует настраивать свои активы на прямое подключение к общедоступному Интернету", - добавила Rockwell Automation.
"Отключение этого подключения в качестве упреждающего шага снижает вероятность атаки и может немедленно снизить подверженность несанкционированной и злонамеренной киберактивности со стороны внешних участников угрозы".
Кроме того, организации должны убедиться, что они приняли необходимые меры по смягчению последствий и исправления для защиты от следующих недостатков, влияющих на их продукты -
Вредоносная программа для ПЛК на базе Интернета
Сюда входит рекомендация 2020 года, совместно выпущенная CISA и Агентством национальной безопасности (АНБ), предупреждающая о злоумышленниках, использующих активы операционных технологий, доступных в Интернете (OT), для проведения киберактивности, которая может представлять серьезные угрозы для критически важной инфраструктуры.
"Киберпреступники, включая группы advanced persistent threat (APT), в последние годы нацеливались на системы OT / ICS для достижения политических выгод, экономических преимуществ и, возможно, для осуществления деструктивных действий", - отметило АНБ в сентябре 2022 года.
Также наблюдалось, как злоумышленники подключались к общедоступным программируемым логическим контроллерам (ПЛК) и модифицировали логику управления, вызывая нежелательное поведение.
Фактически, недавнее исследование, представленное группой ученых из Технологического института Джорджии на симпозиуме NDSS в марте 2024 года, показало, что возможно выполнить атаку в стиле Stuxnet путем компрометации веб-приложения (или человеко-машинного интерфейса), размещенного на встроенных веб-серверах в ПЛК.
Это влечет за собой использование веб-интерфейса ПЛК, используемого для удаленного мониторинга, программирования и конфигурирования, с целью получения начального доступа, а затем использования законных интерфейсов прикладного программирования (API) для саботажа базового реального оборудования.
"Такие атаки включают фальсификацию показаний датчиков, отключение аварийных сигналов безопасности и манипулирование физическими исполнительными механизмами", - сказали исследователи. "Появление веб-технологий в промышленных средах управления привело к появлению новых проблем безопасности, которых нет в сфере ИТ или потребительских устройствах Интернета вещей".
Новая вредоносная программа для ПЛК на основе Интернета обладает значительными преимуществами по сравнению с существующими методами вредоносного ПО для ПЛК, такими как независимость от платформы, простота развертывания и более высокий уровень устойчивости, позволяя злоумышленнику скрытно выполнять вредоносные действия без необходимости развертывания вредоносного ПО control logic.
Для обеспечения безопасности сетей OT и ICS рекомендуется ограничить доступ к системной информации, проводить аудит и защищать удаленные точки доступа, ограничивать доступ к прикладным инструментам и скриптам сети и системы управления законным пользователям, проводить периодические проверки безопасности и внедрять динамическую сетевую среду.
Компания заявила, что выпускает рекомендацию из-за "повышенной геополитической напряженности и враждебной киберактивности по всему миру".
С этой целью клиенты должны предпринять немедленные действия, чтобы определить, есть ли у них устройства, доступные через Интернет, и, если да, отключить подключение для тех, которые не должны оставаться незащищенными.
"Пользователям никогда не следует настраивать свои активы на прямое подключение к общедоступному Интернету", - добавила Rockwell Automation.
"Отключение этого подключения в качестве упреждающего шага снижает вероятность атаки и может немедленно снизить подверженность несанкционированной и злонамеренной киберактивности со стороны внешних участников угрозы".
Кроме того, организации должны убедиться, что они приняли необходимые меры по смягчению последствий и исправления для защиты от следующих недостатков, влияющих на их продукты -
- CVE-2021-22681 (Оценка CVSS: 10,0)
- CVE-2022-1159 (оценка CVSS: 7,7)
- CVE-2023-3595 (Оценка CVSS: 9,8)
- CVE-2023-46290 (Оценка CVSS: 8.1)
- CVE-2024-21914 (Оценка CVSS: 5.3/6.9)
- CVE-2024-21915 (Оценка CVSS: 9,0)
- CVE-2024-21917 (Оценка CVSS: 9,8)
Вредоносная программа для ПЛК на базе Интернета
Сюда входит рекомендация 2020 года, совместно выпущенная CISA и Агентством национальной безопасности (АНБ), предупреждающая о злоумышленниках, использующих активы операционных технологий, доступных в Интернете (OT), для проведения киберактивности, которая может представлять серьезные угрозы для критически важной инфраструктуры.
"Киберпреступники, включая группы advanced persistent threat (APT), в последние годы нацеливались на системы OT / ICS для достижения политических выгод, экономических преимуществ и, возможно, для осуществления деструктивных действий", - отметило АНБ в сентябре 2022 года.
Также наблюдалось, как злоумышленники подключались к общедоступным программируемым логическим контроллерам (ПЛК) и модифицировали логику управления, вызывая нежелательное поведение.
Фактически, недавнее исследование, представленное группой ученых из Технологического института Джорджии на симпозиуме NDSS в марте 2024 года, показало, что возможно выполнить атаку в стиле Stuxnet путем компрометации веб-приложения (или человеко-машинного интерфейса), размещенного на встроенных веб-серверах в ПЛК.
Это влечет за собой использование веб-интерфейса ПЛК, используемого для удаленного мониторинга, программирования и конфигурирования, с целью получения начального доступа, а затем использования законных интерфейсов прикладного программирования (API) для саботажа базового реального оборудования.
"Такие атаки включают фальсификацию показаний датчиков, отключение аварийных сигналов безопасности и манипулирование физическими исполнительными механизмами", - сказали исследователи. "Появление веб-технологий в промышленных средах управления привело к появлению новых проблем безопасности, которых нет в сфере ИТ или потребительских устройствах Интернета вещей".
Новая вредоносная программа для ПЛК на основе Интернета обладает значительными преимуществами по сравнению с существующими методами вредоносного ПО для ПЛК, такими как независимость от платформы, простота развертывания и более высокий уровень устойчивости, позволяя злоумышленнику скрытно выполнять вредоносные действия без необходимости развертывания вредоносного ПО control logic.
Для обеспечения безопасности сетей OT и ICS рекомендуется ограничить доступ к системной информации, проводить аудит и защищать удаленные точки доступа, ограничивать доступ к прикладным инструментам и скриптам сети и системы управления законным пользователям, проводить периодические проверки безопасности и внедрять динамическую сетевую среду.
