Cyber-security
23 januari 2025
Het Georgia Institute of Technology waarschuwt de automatiseringscommunity voor de onderschatte risico's van extern bereikbare programmeerbare controllers.
Reeds in 2012 heeft WAGO een "Product Security Incident Response Team" (PSIRT) opgericht om mogelijke zwakke plekken te beheren. Wij zijn gecertificeerd conform IEC 62443-4-1 en ondersteunen onze klanten bij de veilige exploitatie van hun producten van WAGO en de optimale bescherming van bestaande processen in de industriële automatisering. Aanvallers zijn immers steeds doelgerichter op zoek naar mogelijke aanvalspotentialen - ook via het internet. Hiervoor zijn zoekmachines zoals shodan.io of censys.io geëtableerd, waarmee controllers die onbeschermd met het internet zijn verbonden, zoals de PFC van WAGO, kunnen worden gevonden. Daarom is het des te belangrijker dat onze klanten hun controllers beveiligen en overeenkomstig hun omgeving veilig configureren.
Een studie door het "Georgia Institute of Technology" laat nogmaals zien hoe relevant dit onderwerp is. De onderzoekers hebben ontdekt dat aanzienlijk meer programmeerbare controllers (PLC's) voor aanvallen op afstand vatbaar zijn dan tot dusverre werd gedacht. "De ontdekking van voor het publiek toegankelijke PLC-apparaten is een beslissende stap bij het beveiligen van kritische infrastructuren", aldus Ryan Pickren, senior onderzoeker bij het onderzoek. "Aanvallers maken actief gebruik van het openbare internet om gevoelige PLC's aan te vallen; daarom moeten exploitanten weten welke apparaten gevaar lopen", aldus Pickren. In de studie worden de grenzen van conventionele ICS-veiligheidsonderzoeksmethoden aangegeven, die vaak steunen op het eenvoudig opvragen van diensten zoals Shodan en Censys om bedreigde PLC's te identificeren. De "Best Effort"-query's die in eerdere onderzoeken werden gebruikt, zijn geneigd om alleen naar eenvoudige statische trefwoorden te zoeken die door bepaalde protocollen worden onthuld, wat vaak niet de dynamische aard van moderne multiprotocol PLC-apparaten, waaronder die van WAGO, registreert.
Onderzoekers van Georgia Tech stellen vast dat factoren zoals ICS-firewalls, PLC-firmwareversies en klantconfiguraties ertoe leiden dat PLC's onvolledige en vluchtige netwerkgegevens onthullen die niet eenvoudig kunnen worden gedetecteerd. "Moderne PLC's zijn compatibel met diverse netwerkprotocollen, die elk een unieke vingerafdruk produceren die in de loop der tijd verandert, afhankelijk van de firmwareversie en andere klantspecifieke instellingen. Simplistische IoT-zoekopdrachten van zoekmachines registreren niet meer de gehele populatie", aldus Pickren. Als gevolg van deze complexiteit werd bij eerdere veiligheidsanalyses op internet per ongeluk geen rekening gehouden met grote delen van de apparaten die gevaar liepen. De onderzoekers beweren dat het werkelijke aantal apparaten dat gevaar loopt tot wel 37 keer hoger kan zijn dan tot dusverre is gedocumenteerd. De onderzoekers zijn al begonnen met het benaderen van de betrokken partijen, zodat ze de foutieve netwerkconfiguraties kunnen verhelpen die tot deze vermoedelijk onbedoelde toegang tot het internet hebben geleid.
"Uit dit hoge donkerheidscijfer blijkt de toenemende behoefte aan een veiliger gebruik van OT-systemen, met name als deze met het internet zijn verbonden. Om deze reden lanceert WAGO naast andere maatregelen zoals verhardingsrichtlijnen een nieuw consultatief aanbod om onze klanten in de toekomst op een duurzamere manier bij vragen over de cyber security te ondersteunen", aldus Kilian Fröhlich (Business Development Manager bij WAGO). "Als logische afleiding van de reeds gestarte maatregelen voor de certificering van onze processen en producten conform IEC 62443-4-1 en 4-2 en de vroege opbouw van het PSIRT-team neemt WAGO de volgende stap door het opbouwen van een "Cyber Security Consulting Team". Hierdoor kunnen wij onze klanten optimaal blijven ondersteunen bij vragen over cyber security en kunnen wij ook nieuwe marktdiensten aanbieden."
Nadere bijzonderheden over de verbeterde zoektechnologie en de gevolgen voor de ICS-veiligheid zullen worden gepubliceerd in een binnenkort te verschijnen wetenschappelijke publicatie. Het "Georgia Institute of Technology" roept de automatiseringsgemeenschap op om haar methoden voor het beoordelen van de veiligheid te heroverwegen en een bredere aanpak te volgen om de blootstelling aan potentiële cyberdreigingen voor kritieke infrastructuren nauwkeurig in te schatten.
"Wij ondersteunen de eis van het "Georgia Institute of Technology" en werken continu aan de verbetering van onze productveiligheid. Voor een veilig bedrijf van installaties is het natuurlijk ook belangrijk om zwakke plekken continu te verhelpen, die WAGO zelf herkent of door onderzoekers zoals het "Georgia Institute of Technology" wordt gemeld. Het WAGO PSIRT-team ondersteunt klanten hierbij actief door bekende zwakke plekken en het verhelpen hiervan met onze partner CERT@VDE te publiceren", aldus Dr.-Ing. Christopher Tebbe (Technology Management Security bij WAGO). Deze advisories, die geïdentificeerde zwakke plekken en het verhelpen ervan beschrijven, vindt u hier.
