A Positive Technologies desenvolveu um pacote de expertise para PT ICS, uma plataforma integrada de cibersegurança industrial. O pacote é compatível com os sistemas da Yokogawa Electric Corporation. Os usuários da plataforma poderão detectar os ataques no sistema de controle distribuído CENTUM VP (usado por 10 mil empresas de química, energia, petróleo e gás, alimentos, água, farmacêutica e outras), bem como os ataques ao sistema de segurança ProSafe-RS utilizado em mais de 24 mil projetos.

O novo pacote de análise permite que os usuários determinem os vetores de ataque mais comuns em sistemas de controle distribuído: falhas e anomalias da rede (substituição do endereço de host por um existente ou dificuldades de backup de dados), tentativas de acesso não autorizado (manipulação de senhas e anomalias no sistema de autenticação), bem como o uso de senhas padrão.

Ao trabalhar no desenvolvimento do pacote de análise, o especialista da Positive Technologies, Denis Alimov, encontrou a vulnerabilidade CVE-2023-26593 (BDU:2022-05068), que obteve nota 6.5 na escala CVSS v3 . A vulnerabilidade afetou sistemas de controle distribuído de várias gerações, como o CENTUM CS 1000, produzido desde a década de 1990. O CENTUM CS 3000 e o CENTUM VP R4—R6 também foram afetados. Os servidores do Exaopc OPC¹ usados para conectar os sistemas de controle industrial da empresa Yokogawa Electric Corporation com o software de terceiros também apresentaram vulnerabilidades. O fornecedor foi notificado sobre a vulnerabilidade em novas versões do software e tomou medidas para reduzir o risco, oferecendo aos usuários um método de autenticação alternativo.

Denis Alimov, especialista sênior em segurança industrial da Positive Technologies, comentou: “Ao explorar a vulnerabilidade, os invasores poderiam obtido as permissões direitos de acesso ao sistema de controle industrial no nível de administrador. Isso os permitiria, por exemplo, controlar os processos, bloqueá-los ou desbloquear, bem como iniciar e carregar as configurações de processos. Os invasores também poderiam ter interrompido a operação do PLC e alterar os limites dos parâmetros do equipamento e configurações de desenvolvimento (indicadores de alarme, som e outros). Além disso, os hackers poderiam ter bloqueado o acesso dos usuários ao ambiente de desenvolvimento e, consequentemente, o controle dos processos industriais. De acordo com a classificação MITRE² , é um ataque de negação de controle que pode levar a consequências sérias”.

Alguns sistemas de controle distribuído, inclusive o CENTUM CS 1000, CENTUM CS 3000 e o CENTUM VP R4—R5, não são mais compatíveis com o fornecedor e, portanto, não recebem atualizações. Quaisquer vulnerabilidades abertas, como CVE-2023-26593 (BDU:2022-05068), podem afetar a segurança de uma unidade industrial.

Graças ao novo pacote concebido para impedir a exploração de tais vulnerabilidades, o PT ICS tem controle sobre qualquer alteração que possa ser feita em um projeto, bem como detecta casos de inicialização anormal, bloqueios de componentes e uso de software especializado em modos perigosos. O PT ICS verifica automaticamente arquivos essenciais, incluindo o firmware, quanto à integridade e sinais de comprometimento. A plataforma também registra violações de segurança física, tais como as tentativas de invadir os teclados industriais especiais, nos quais o nível de acesso é reguladopor uma chave mecânica. TTudo isso ajuda a garantir uma proteção da infraestrutura abrangente baseada nos Sistemas da Yokogawa Electric Corporation.

1. Uma família de tecnologias para troca unificada de dados com qualquer dispositivo (https://en.wikipedia.org/wiki/Open_Platform_Communications).
2. A MITRE é uma organização de tecnologia sem fins lucrativos que lida com cibersegurança.