Internet felől elérhető ICS eszközök
A Team Cymru a múlt hónapban közzétett, az ICS (ipari vezérlőrendszerek) és az OT (üzemeltetési technológia) környezetek védelmére irányuló képességeit bemutató bejegyzését követően új kutatási eredményeket tett közzé, amelyekben három esettanulmányt vizsgálnak, amelyek rávilágítanak az ellenséges állami szereplők által célba vett, védelem nélküli ICS- és OT-eszközök mértékére. Az eredmények egy kritikus problémára hívják fel a figyelmet: ezeknek a rendszereknek a nagy része továbbra is közvetlenül ki van téve a támadásoknak, és sebezhető.
A Team Cymru ezzel a kutatással megerősíti azt a tényt, hogy a kritikus nemzeti infrastruktúra-rendszerek továbbra is veszélyben vannak. „Az ipari kiberbiztonság legjobb gyakorlata előírja, hogy az ICS-eszközöket soha nem szabad közvetlenül kitenni nyilvánosan az Internetre. Az a tény, hogy több ezer egyedi IP-címet azonosítottak célpontként, azt jelenti, hogy sok szervezet még mindig küzd az IT/OT konvergenciával.” – áll a Team Cymru posztjában.
A Hitachi RTU560 (korábban ABB) egy olyan termék, amely támogatja a modern villamosenergia-hálózat stabilitását, és csúcskategóriás, moduláris távvezérlő egységként (RTU) szolgál a nagyméretű alállomások automatizálásához és az áramátvitelhez. A CERT-PL nemrégiben beszámolt egy aggasztó kampányról, amelyet a Dragonfly (más néven Berserk Bear) nevéhez kötnek, és amely a lengyel villamosenergia-hálózatot célozza. A Dragonfly egy olyan fenyegető csoport, amelyet az amerikai Igazságügyi Minisztérium az orosz FSZB-hez köt. 2025. december 29-én a Dragonfly operátorai állítólag kihasználták az internetre nyitott webes felületeket alapértelmezett azonosítási és hitelesítési adatokkal, majd rosszindulatú ELF firmware-fájlok feltöltésével arra kényszerítették a processzort, hogy érvénytelen utasításokat hajtson végre. Ez végtelen boot-hurkot indított el, amely gyakorlatilag tönkretette az egység működőképességét, gyakran szükségessé téve a hardver fizikai cseréjét a helyszínen. Ezekből az eszközökből a Team Cymru több, mint 300 darabot észlelt Törökországban.
A Moxa NPort eszköz kritikus hídként szolgál ipari környezetben: biztonságos soros-Ethernet eszközszerverként működik, amely lehetővé teszi a régebbi soros hardverek – például érzékelők, programozható logikai vezérlők (PLC-k) és mérőeszközök – kommunikációját a modern IP-hálózatokon. A Team Cymru több, mint 50 ilyen eszközt azonosított Japában, Spanyolországban, Oroszországban és az USA-ban is. A CERT-PL által a Dragonfly-hoz (Berserk Bear) kapcsolódó kampányban a támadók szintén kihasználták a Moxa NPort eszközök alapértelmezett bejelentkezési adatait, hogy admin hozzáférést szerezzenek az eszközök webes felületeihez. Ahelyett, hogy „tönkretették” volna a hardvert, a Dragonfly operátorai összehangolt lezárást hajtottak végre: visszaállították az eszközöket a gyári beállításokra, módosították az adminisztrátori jelszavakat, és átkonfigurálták az IP-címeket loopback-címre.
2023 júliusában a Rockwell Automation és a CISA sürgős biztonsági összefoglalót adott ki az 1756-EN2, EN3 és EN4 kommunikációs modulokban feltárt kritikus biztonsági résekkel (CVE-2023-3595 és CVE-2023-3596) kapcsolatban. Ezek a modulok az Allen-Bradley ControlLogix platform fordítói, amelyek a háttérlapon keresztül nagy sebességű Ethernet/IP forgalmat bonyolítanak le más ipari alkatrészek felé. A Team Cymru csak az USA-ban közel 1000 darab ilyen eszközt azonosított.
Ami ezt a felfedezést egyedülállóvá tette, az az volt, hogy nem egy biztonsági rés miatt derült ki, hanem egy névtelen nemzeti szereplő által kifejlesztett új kihasználási lehetőség felfedezése miatt. A kihasználás lehetővé tette volna a támadók számára, hogy hibás Common Industrial Protocol (CIP) üzeneteket küldjenek a modulnak, hogy out-of-bounds írást indítsanak el. Ez lehetővé tette volna számukra a távoli kódvégrehajtást (RCE) és a modul firmware-jének közvetlen manipulálását.
