Backdoors em sistemas de controle industriais
A equipe do ICS-CERT que é sediada nos E.U.A. e que realiza trabalhos de segurança em unidades industriais naquele país, emitiu um alerta de backdoors para módulos de sistemas de controle em redes padrão, o chamado Schneider Electric Quantum Ethernet Module. O especialista em segurança Rubén Santamarta descobriu que esses componentes incluem várias contas com senhas codificadas e que podem ser acessadas, por exemplo, via FTP, telnet e o seviço de debug da porta UDP 17185.
Módulos de controle como o "NOE 771" são usados em interfaces de rede para os PLCS ( controladores lógicos programáveis); a Schneider Electric usa esses módulos para um "shut down de emergência" e em sistemas de "detecção de gás e incêndio". No entanto Santamarta revelou que a ICS-CERT e os desenvolvedores conseguiram atualizar o firmware desses módulos em que os serviços de telnet e debug foram desabilitados por padrão, porém eles ainda estão testando a compatibilidade da atualização.
A situação é perigosa pois esses sistemas não são protegidos corretamente contra intrusões, na pior das hipóteses eles ainda podem ser acessados pela internet. Há alguns dias atrás a equipe do ICS-CERT renovou o alerta que esse tipo de sistema podem ser identificados facilmente por ferramentas como o SHODAN (sistema de busca especializado em equipamentos). Administradores de sistema que executaram um desses módulos em equipamentos, devem testar imediatamente se esses módulos estão acessíveis pela internet.
Se você tiver interessado em saber como os hackers descobrem falhas na segurança no SCADA e outros sistemas de controles, procurem nas tags de segurança o relatório do Santamarta aqui no blog "Revertendo firmwares e backdoors industriais".
fonte:Sans Institute
 | |
| Esquema de implementação tipico - Schneider Electric |
Módulos de controle como o "NOE 771" são usados em interfaces de rede para os PLCS ( controladores lógicos programáveis); a Schneider Electric usa esses módulos para um "shut down de emergência" e em sistemas de "detecção de gás e incêndio". No entanto Santamarta revelou que a ICS-CERT e os desenvolvedores conseguiram atualizar o firmware desses módulos em que os serviços de telnet e debug foram desabilitados por padrão, porém eles ainda estão testando a compatibilidade da atualização.
A situação é perigosa pois esses sistemas não são protegidos corretamente contra intrusões, na pior das hipóteses eles ainda podem ser acessados pela internet. Há alguns dias atrás a equipe do ICS-CERT renovou o alerta que esse tipo de sistema podem ser identificados facilmente por ferramentas como o SHODAN (sistema de busca especializado em equipamentos). Administradores de sistema que executaram um desses módulos em equipamentos, devem testar imediatamente se esses módulos estão acessíveis pela internet.
Se você tiver interessado em saber como os hackers descobrem falhas na segurança no SCADA e outros sistemas de controles, procurem nas tags de segurança o relatório do Santamarta aqui no blog "Revertendo firmwares e backdoors industriais".
fonte:Sans Institute
Nenhum comentário:
Postar um comentário