Vulnerabilidade permite que malwares usem a mesma estratégia do Stuxnet para contaminar CLPs e conseguir controle deles mesmo à distância
Dez anos depois que o Stuxnet atingiu as centrífugas de urânio iranianas, controladores industriais ainda estão vulneráveis à estratégia utilizada por esse malware: pesquisadores da Airbus CyberSecurity descobriram esse tipo de falha ao analisar o PLC Modicon M340, da Schneider Electric para determinar se ele era vulnerável a ataques semelhantes. O ataque foi direcionado ao controlador através do software de engenharia EcoStruxure Control Expert da própria Schneider.
Embora tenham trabalhado num artefato da Schneider, a equipe da Airbus acredita que produtos similares de outros fornecedores também possam ser vulneráveis ao mesmo tipo de ataque. A Schneider informou que esses tipos de vulnerabilidade também afeta os produtos de outros fornecedores, embora não tenha apontado nenhum.
A análise levou à descoberta de uma vulnerabilidade que pode ser explorada para upload de código malicioso nos CLPs Modicon M340 e M580 (substituindo um dos arquivos DLL associados ao software de engenharia). A vulnerabilidade foi registrada como CVE-2020-7475 e classificada como de alta gravidade. Ela está corrigida com um hotfix para o EcoStruxure Control Expert e atualizações de firmware para os controladores Modicon M340 e M580.
Veja isto
EUA comunicam ataque cibernético contra empresa de gás
Pesquisadores localizam backdoor em em CLPs da Siemens
O malware Stuxnet, supostamente usado pelos Estados Unidos e Israel para causar danos ao programa nuclear do Irã, foi projetado para atingir os PLCs SIMATIC S7-300 e S7-400 fabricados pela Siemens. O Stuxnet subia o código malicioso nos PLCs abusando do software STEP7 da Siemens, utilizado na programação dos controladores. A estratégia era substituir uma biblioteca chamada s7otbxdx.dll por uma versão maliciosa, usando para isso um método chamado carregamento reflexivo da DLL (que envolve o carregamento de uma DLL da memória). Isso permitiu que os invasores injetassem código malicioso no controlador.
No caso da análise da Airbus, a descoberta foi uma vulnerabilidade que pode ser explorada para upload de código malicioso nos CLPs Modicon M340 e M580, substituindo um dos arquivos DLL associados ao software de engenharia.
Os especialistas também afirmaram que o invasor pode manter o controle do dispositivo comprometido pela Internet e sem ter acesso à rede corporativa depois que a vulnerabilidade for explorada e o código malicioso carregado.
Embora um ataque como esse possa ser altamente prejudicial ou perturbador – ou possa dar uma vantagem ao invasor – explorar a vulnerabilidade não é fácil: o hacker primeiro precisa obter acesso ao perímetro de ICS da organização alvo e poder se comunicar com o PLC alvo.
Com agências internacionais