Uma nova pesquisa identificou mais de 145.000 Sistemas de Controle Industrial (ICS) expostos à internet abrangendo 175 países, com os EUA respondendo por mais de um terço do total de exposições.
O estudo, conduzido pela empresa de gerenciamento de superfície de ataque Censys, revelou que 38% dos dispositivos estão situados na América do Norte, 35,4% na Europa, 22,9% na Ásia, 1,7% na Oceania, 1,2% na América do Sul e 0,5% na África.
Os países com as maiores exposições de serviço ICS incluem os EUA (mais de 48.000), Turquia, Coreia do Sul, Itália, Canadá, Espanha, China, Alemanha, França, Reino Unido, Japão, Suécia, Taiwan, Polônia e Lituânia.
As descobertas são baseadas na exposição de vários protocolos ICS amplamente utilizados, como Modbus, IEC 60870-5-104, CODESYS, OPC UA, entre outros.
Notavelmente, as superfícies de ataque exibem exclusividade regional: protocolos como Modbus, S7 e IEC 60870-5-104 são mais prevalentes na Europa, enquanto Fox, BACnet, ATG e C-more são frequentemente observados na América do Norte. Alguns protocolos ICS, como EIP, FINS e WDBRPC, são comumente utilizados em ambas as regiões.
Além disso, 34% das interfaces homem-máquina (HMIs) C-more estão vinculadas a sistemas de água e esgoto, enquanto 23% estão associadas a operações agrícolas.
“Muitos desses protocolos remontam à década de 1970 e continuam integrais aos processos industriais, mas não passaram pelos mesmos avanços de segurança que outras tecnologias”, disse Zakir Durumeric, cofundador e cientista-chefe da Censys.
“A segurança dos dispositivos ICS é essencial para proteger a infraestrutura crítica de uma nação. Para conseguir isso, precisamos entender profundamente como esses dispositivos são expostos e onde estão as vulnerabilidades.”
Embora os ataques cibernéticos aos sistemas ICS tenham sido relativamente raros — apenas nove cepas de malware foram identificadas até o momento —, tem havido uma tendência crescente de malware focado em ICS nos últimos anos, principalmente após o conflito russo-ucraniano em andamento.
Em julho, Dragos revelou que uma empresa de energia ucraniana foi alvo de um malware chamado FrostyGoop, que explora comunicações Modbus TCP para interromper redes de tecnologia operacional (OT).
Também conhecido como BUSTLEBERM, o malware é uma ferramenta de linha de comando do Windows desenvolvida em Golang, capaz de causar mau funcionamento em dispositivos expostos publicamente, potencialmente levando a uma negação de serviço (DoS).
“Embora o malware tenha sido utilizado por agentes de ameaças para atingir dispositivos de controle ENCO, ele é capaz de atacar qualquer dispositivo que se comunique usando Modbus TCP”, os pesquisadores da Unidade 42 da Palo Alto Networks, Asher Davila e Chris Navarrete declararam em um relatório divulgado no início desta semana.
“Os parâmetros exigidos pelo FrostyGoop para iniciar uma conexão Modbus TCP e emitir comandos Modbus para um dispositivo ICS alvo podem ser especificados como argumentos de linha de comando ou fornecidos em um arquivo de configuração JSON separado.”
Dados de telemetria coletados pela empresa revelaram que 1.088.175 dispositivos Modbus TCP foram expostos à internet durante um período de um mês, de 2 de setembro a 2 de outubro de 2024.
Os agentes de ameaças têm cada vez mais visado outras entidades de infraestrutura crítica, incluindo autoridades de água. Em um incidente relatado no ano passado nos EUA, a Municipal Water Authority de Aliquippa, Pensilvânia, foi comprometida pela exploração de um controlador lógico programável (PLC) Unitronics exposto à Internet, resultando em sistemas sendo desfigurados com uma mensagem anti-Israel.
A Censys observou que as interfaces homem-máquina (HMIs), que facilitam o monitoramento e a interação com sistemas ICS, estão sendo expostas com mais frequência on-line para permitir acesso remoto. A maioria das HMIs expostas está localizada nos EUA, seguida pela Alemanha, Canadá, França, Áustria, Itália, Reino Unido, Austrália, Espanha e Polônia.
Curiosamente, muitas das HMIs e serviços ICS expostos são hospedados em provedores de serviços de Internet (ISPs) móveis ou de nível empresarial, como Verizon, Deutsche Telekom, Magenta Telekom e Turkcell, oferecendo metadados mínimos para identificar os usuários reais dos sistemas.
“HMIs frequentemente exibem logotipos de empresas ou nomes de plantas, o que pode ajudar a identificar o proprietário e o setor”, afirmou Censys. “Os protocolos ICS, no entanto, raramente fornecem tais detalhes, tornando quase impossível notificar os proprietários sobre exposições. A cooperação das principais empresas de telecomunicações que hospedam esses serviços provavelmente será necessária para resolver esse problema.”
Dada a ampla superfície de ataque apresentada pelas redes ICS e OT, as organizações devem tomar medidas proativas para identificar e proteger dispositivos expostos, atualizar credenciais padrão e monitorar redes em busca de sinais de atividade maliciosa.
Os riscos para esses ambientes são ainda mais exacerbados por um aumento de malware de botnet — como Aisuru, Kaiten, Gafgyt, Kaden e LOLFME — que exploram credenciais de OT padrão para executar ataques de negação de serviço distribuído (DDoS) e apagar dados em sistemas alvos.
Esta divulgação segue descobertas recentes da Forescout, que identificou estações de trabalho de Imagem Digital e Comunicações em Medicina (DICOM), Sistemas de Arquivamento e Comunicação de Imagens (PACS), controladores de bombas e sistemas de informações médicas como os dispositivos mais vulneráveis para organizações de prestação de serviços de saúde (HDOs).
DICOM, um serviço amplamente utilizado entre dispositivos de Internet of Medical Things (IoMT), foi notado como um dos mais expostos online, com um número significativo de instâncias localizadas nos EUA, Índia, Alemanha, Brasil, Irã e China.
“As organizações de saúde continuarão a lidar com dispositivos médicos que dependem de sistemas legados ou não padronizados”, disse Daniel dos Santos, chefe de pesquisa de segurança na Forescout.
“Uma única vulnerabilidade pode expor dados confidenciais de pacientes. Identificar e classificar ativos, mapear fluxos de comunicação de rede, segmentar redes e implementar monitoramento contínuo são essenciais para proteger o cenário de rede de saúde em expansão.”
Fonte: TheHackerNews
