Foi descoberto um conjunto de 38 vulnerabilidades de segurança em dispositivos de Internet industrial sem fios (IIoT) de quatro vendedores diferentes que poderiam constituir uma superfície de ataque significativa para os actores de ameaças que procuram explorar ambientes de tecnologia operacional (OT).
“Os actores da ameaça podem explorar vulnerabilidades nos dispositivos Wireless IIoT para obter acesso inicial às redes OT internas”, empresa israelita de ciber-segurança industrial Otorio disse. “Podem utilizar estas vulnerabilidades para contornar as camadas de segurança e infiltrar-se nas redes alvo, pondo em risco infra-estruturas críticas ou interrompendo o fabrico”.
As falhas, em resumo, oferecem um ponto de entrada remoto para o ataque, permitindo aos adversários não autenticados ganhar uma posição e subsequentemente usá-la como alavanca para se espalharem a outros hospedeiros, causando assim danos significativos.
Algumas das deficiências identificadas poderiam ser acorrentadas para dar a um actor externo acesso directo a milhares de redes OT internas através da Internet, disse o investigador de segurança Roni Gavrilov.
Dos 38 defeitos, três afectam o Servidor de Acesso Remoto (RAS) da ETIC Telecom – CVE-2022-3703, CVE-2022-41607, e CVE-2022-40981 – e podem ser utilizados abusivamente para apreender completamente o controlo de dispositivos susceptíveis.
Cinco outras vulnerabilidades dizem respeito à InHand Networks InRouter 302 e InRouter 615 que, se exploradas, poderiam resultar em injecção de comando, divulgação de informação, e execução de código.
Especificamente, implica tirar partido de problemas na plataforma de nuvem “Device Manager”, que permite aos operadores realizar acções remotas como alterações de configuração e actualizações de firmware, para comprometer cada dispositivo InRouter gerido pela nuvem com privilégios de raiz.
Também identificados são dois pontos fracos na Sierra Wireless AirLink Router (CVE-2022-46649 e CVE-2022-46650) que poderia permitir uma perda de informação sensível e a execução de códigos à distância. As restantes falhas estão ainda a ser reveladas de forma responsável.
As conclusões sublinham como as redes OT podem ser postas em risco ao tornar os dispositivos IIoT directamente acessíveis na Internet, criando efectivamente um “ponto único de falha” que pode contornar todas as protecções de segurança.
Alternativamente, os atacantes locais podem invadir pontos de acesso Wi-Fi industriais e gateways de celular, visando os canais Wi-Fi ou celulares no local, conduzindo a cenários de adversário no meio (AitM) com impacto potencial adverso.
Os ataques podem ir desde esquemas de encriptação fracos até ataques de coexistência destinados a chips combinados amplamente utilizados em dispositivos electrónicos.
Para conseguir isto, os actores da ameaça podem utilizar plataformas como WiGLE – uma base de dados de diferentes hotspots sem fios em todo o mundo – para identificar ambientes industriais de alto valor, localizá-los fisicamente, e explorar os pontos de acesso a partir da proximidade, observou Otorio.
Como contramedidas, é recomendado desactivar esquemas de encriptação inseguros, ocultar nomes de redes Wi-Fi, desactivar serviços de gestão de nuvens não utilizados, e tomar medidas para impedir que os dispositivos sejam acessíveis ao público.
“A baixa complexidade da exploração, combinada com o amplo impacto potencial, torna os dispositivos sem fios IIoT e as suas plataformas de gestão baseadas na nuvem um alvo sedutor para os atacantes que procuram violar ambientes industriais”, disse a empresa.
O desenvolvimento também vem como Otorio divulgado detalhes de duas falhas de alta severidade no Siemens Automation License Manager (CVE-2022-43513 e CVE-2022-43514) que poderiam ser combinadas para obter execução de código remoto e escalonamento de privilégios. Os bugs foram corrigidos pela Siemens em Janeiro de 2023.