Rockwell Automation insta els seus clients a desconnectar tots els sistemes de control industrial (ICS) que no han d’estar connectats a l’Internet públic per mitigar l’activitat cibernètica no autoritzada o maliciosa.

L’empresa va dir que emet l’avís a causa de «l’augment de les tensions geopolítiques i l’activitat cibernètica adversària a nivell mundial».

Amb aquesta finalitat, els clients han de prendre mesures immediates per determinar si disposen de dispositius accessibles a través d’Internet i, si és així, tallar la connectivitat d’aquells que no han de quedar exposats.

«Els usuaris no haurien de configurar mai els seus actius perquè estiguin connectats directament a Internet de cara al públic», va afegir Rockwell Automation.

«Eliminar aquesta connectivitat com a pas proactiu redueix la superfície d’atac i pot reduir immediatament l’exposició a l’activitat cibernètica no autoritzada i maliciosa d’actors d’amenaça externs».

A més, les organitzacions s’han d’assegurar que han adoptat les mitigacions i els pedaços necessaris per protegir-se dels defectes següents que afecten els seus productes:

• CVE-2021-22681 (puntuació CVSS: 10.0)
• CVE-2022-1159 (puntuació CVSS: 7.7)
• CVE-2023-3595 (puntuació CVSS: 9.8)
• CVE-2023-46290 (puntuació CVSS: 8.1)
• CVE-2024-21914 (puntuació CVSS: 5.3)
• CVE-2024-21915 (puntuació CVSS: 9.0)
• CVE-2024-21917 (puntuació CVSS: 9.8)

L’Agència de Seguretat Cibernètica i d’Infraestructures dels Estats Units (CISA) també ha compartit l’alerta, i també recomana que els usuaris i els administradors segueixin les mesures adequades que es descriuen a la guia per reduir l’exposició.

Això inclou un avís del 2020 publicat conjuntament per CISA i l’Agència de Seguretat Nacional (NSA) que advertia d’actors maliciosos que exploten actius de tecnologia operativa (OT) accessibles a Internet per dur a terme una activitat cibernètica que podria suposar greus amenaces a la infraestructura crítica.

«Els ciberactors, inclosos els grups d’amenaça persistent avançada (APT), s’han adreçat als sistemes OT/ICS en els últims anys per aconseguir guanys polítics, avantatges econòmics i, possiblement, per executar efectes destructius», va assenyalar la NSA el setembre del 2022.

També s’han observat adversaris connectant-se a controladors lògics programables (PLC) exposats públicament i modificant la lògica de control per provocar un comportament no desitjat.

De fet, una investigació recent, presentada per un grup d’acadèmics de l’Institut de Tecnologia de Geòrgia al Simposi NDSS el març de 2024, ha trobat que és possible dur a terme un atac a l’estil Stuxnet i comprometre l’aplicació web (o interfícies home-màquina) allotjada pels servidors web incrustats dins dels PLC.

Això implica explotar la interfície basada en web del PLC que s’utilitza per al monitoratge, programació i configuració remots per obtenir l’accés inicial i després aprofitar les interfícies de programació d’aplicacions (API) legítimes per sabotejar la maquinària subjacent del món real.

«Aquests atacs inclouen falsificar les lectures del sensor, desactivar les alarmes de seguretat i manipular actuadors físics», van dir els investigadors. «L’aparició de la tecnologia web en entorns de control industrial ha introduït noves preocupacions de seguretat que no estan presents al domini informàtic o als dispositius IoT de consum».

El nou programari maliciós PLC basat en la web té avantatges significatius sobre les tècniques de programari maliciós PLC existents, com ara la independència de la plataforma, la facilitat d’implementació i els nivells més alts de persistència, que permeten a un atacant dur a terme accions malicioses sense haver de desplegar programari maliciós de lògica de control.

Per protegir les xarxes OT i ICS, es recomana limitar l’exposició de la informació del sistema, auditar i assegurar els punts d’accés remots, restringir l’accés a la xarxa i controlar les eines i scripts d’aplicacions del sistema a usuaris legítims, dur a terme revisions de seguretat periòdiques i implementar un entorn de xarxa dinàmic.