Un equipo de investigadores de la universidad de investigación Technion en Israel está realizando un análisis de los controladores de software de Siemens y están identificando gradualmente problemas de seguridad.
Los investigadores han analizado un controlador lógico programable (PLC) basado en PC, o SofPLC, de Siemens. El controlador de software SIMATIC S7-1500 se ejecuta en el controlador abierto ET200SP, combinando la seguridad de un PLC con la flexibilidad de una PC industrial, según el proveedor.
La investigación de Technion mostró que el controlador funciona con una CPU Intel Atom y ejecuta un hipervisor que controla dos máquinas virtuales (VM) con Windows y Adonis Linux, que el proveedor llama SWCPU. El kernel de Adonis ejecuta la lógica y las funciones del PLC.
La SWCPU está cifrada y descifrada por el hipervisor durante el proceso de arranque del PLC. Sin embargo, los investigadores descubrieron que el proceso de arranque no es seguro, lo que permite que un atacante lea y modifique el sistema de archivos, incluidos los binarios del hipervisor y la SWCPU encriptada. A continuación, los investigadores descubrieron que la SWCPU se puede descifrar mediante una clave codificada.
Siemens confirmó a los investigadores que es posible descifrar el firmware utilizando una clave codificada. La empresa ha argumentado que el papel del cifrado es proteger su propiedad intelectual.
“Las instalaciones de los clientes no se ven afectadas directamente por esta investigación. Sin embargo, Siemens recomienda que los clientes controlen continuamente los avisos de seguridad de Siemens e instalen los últimos parches disponibles. Además, Siemens recomienda encarecidamente que los clientes implementen el enfoque de defensa en profundidad para las operaciones de la planta y configuren sus entornos de acuerdo con las pautas operativas de Siemens para la seguridad industrial”, dijo Siemens a SecurityWeek en un comunicado enviado por correo electrónico.
Sara Bitan, investigadora de Technion y CEO y cofundadora de la firma de seguridad cibernética CyCloak, habló con SecurityWeek antes de la conferencia Black Hat que tuvo lugar esta semana en Las Vegas, donde el equipo de Technion reveló algunos de sus hallazgos . El investigador cree que su trabajo es importante, ya que allana el camino para futuras investigaciones, y la piratería del firmware en sí misma podría tener implicaciones de seguridad.
“El firmware de texto sin formato se puede aplicar mediante ingeniería inversa. Observamos que el firmware incluye bibliotecas de tiempo de ejecución C estándar y varias bibliotecas de código abierto (por ejemplo, openssl). La frecuencia de actualización del firmware es baja, lo que lo expone a vulnerabilidades conocidas. Además, descubrimos, y Siemens lo confirmó, que el controlador abierto comparte el 99 % del software con el S7-1500, es decir, el descifrado del firmware expone toda la línea de productos Simatic S7-1500 a ataques que explotan vulnerabilidades conocidas”, explicó.
Además, la investigación está en curso y los expertos afirman haber identificado una forma en que un actor malicioso que toma el control de la VM de Windows en el S7-1515SP PC2 reemplaza de manera persistente el firmware del PLC Siemens con su propio firmware no autorizado. Los detalles completos de esta vulnerabilidad no han sido revelados en Black Hat ya que no es parte de la investigación inicial. Siemens fue notificado recientemente pero, según su respuesta, aún tiene que evaluar completamente el problema.
“Un atacante que obtenga permisos de administrador local en la VM de Windows (ya sea a través de una explotación local o remota) puede modificar/reemplazar los archivos que contienen el firmware del PLC con su propio firmware malicioso, codificado correctamente, y el controlador abierto lo ejecutará automáticamente después del reinicio”. explicó Bitán.
“El atacante puede usar el firmware malicioso para apoderarse por completo del PLC y ejecutar su propio programa de control (como lo que ha hecho Stuxnet). El cliente es totalmente responsable de la máquina Windows, incluidas las actualizaciones, el endurecimiento, etc. Está diseñado para que los ingenieros lo utilicen como un entorno de desarrollo y es el que se comunica con el mundo exterior (excepto los dispositivos de campo). Por lo tanto, su superficie de ataque es grande y, respectivamente, también la probabilidad de que un atacante tome el control maliciosamente”, agregó el investigador.