מפתחות ההצפנה מספקים לתוקפים שליטה מלאה על בקרים של סימנס בכל מפעל, באמצעותם הם יכולים לשגר התקפות מרובות, לחדור לארגון ולשאוב מידע
חוקריTeam 82 בחברת אבטחת המידע למערכות סייבר-פיזיות קלארוטי (Claroty), פיתחו שיטה חדשנית לחילוץ מפתחות הצפנה מקודדים וגלובליים המוטמעים בבקרים של חברת סימנס (Siemens), ומותקנים בקווי ייצור בארגוני תעשייה.
במחקר שפורסם לאחרונה חושפים החוקרים כיצד תוקף יכול להשתמש במפתחות הללו כדי לבצע התקפות מתקדמות ומרובות נגד הבקרים, תוך עקיפת אבטחת הגישה, ולהשתמש בהם כדי לחדור לארגון ולשאוב מידע. מפתחות אלו עשויים לספק לתוקף שליטה מלאה על בקרים של סימנס המותקנים במפעלים. החוקרים מדגימים כיצד תוקף יכול לפתח לקוח עצמאי של סימנס (ללא צורך בתוכנת הבקרה) ובאמצעותו לבצע תהליכי העלאה/הורדה מלאים, לבצע התקפות של 'אדם באמצע' וכן לפצח הצפנה בתעבורת רשת פסיבית של OMS+.
חולשת אבטחה זאת, ששמה CVE-2022-38465, מוטמעת בתוך קווי המוצרים של סימנס מסוג SIMATIC S7-1200/1500 PLC ובתוכנת הבקרה TIA Portal. החולשה מוערכת בציון CVSS v3 של 9.3.
לפני קרוב ל-10 שנים, סימנס הציגה הצפנה א-סימטרית לארכיטקטורת האבטחה של משפחות הקושחה שלה כדי להבטיח את השלמות והסודיות של ההתקנים ולהגן על תקשורת ההתקנים בתוך סביבות תעשייתיות. אולם, לא הייתה קיימת באותה תקופה אפשרות לנהל את המפתחות עבור מערכות בקרה תעשייתיות, ולכן סימנס החליטה להסתמך על מפתחות קבועים (גלובליים) לאבטחת תכנות ותקשורת בין המערכות הסייבר-פיזיות שלה לתוכנת הבקרה.
שרון בריזינוב, ראש צוות מחקר Team82 בחברת קלארוטי אמר כי: "התקדמות הטכנולוגיה, חקר האבטחה ונוף האיומים הדינמי, הפכו מפתחות הצפנה מקודדים גלובליים לסיכון בלתי מתקבל על הדעת. Team82 מבצעת מחקר מקיף על אבטחת מערכות סייבר-פיזיות, תוך עבודה צמודה עם ספקים מובילים כדי למגר שיטות הצפנה כגון אלו, להדגים את הסיכון שהם מהוות למערכות המשתמשים ולשפר את האבטחה הכוללת של מערכת האוטומציה התעשייתית".
תגובתה של סימנס לחשיפה זו הובילה לתיקון תכניות ההצפנה המאבטחות את בקרי הדגל של החברה, כמו גם את אפליקציית תחנת העבודה ההנדסית של תוכנת הבקרה TIA Portal. סימנס הודתה בהודעת אבטחה שההגנות הקיימות סביב המפתח המקודד שלה אינן מספיקות עוד, והשקיעה את המשאבים והזמן הדרושים כדי להציג תשתית דינמית של מפתח ציבורי (PKI), שמבטלת את השימוש במפתחות מקודדים.
סימנס ממליצה למשתמשים לעדכן מידית את PLC SIMATIC S7-1200 ו-S7-1500 וכן את הגרסאות המתאימות של TIA Portal לגרסאות האחרונות. TIA Portal V17 וגרסאות הקושחה הקשורות ל-CPU כוללות את מערכת ה-PKI החדשה המגנה על נתוני קונפיגורציה סודיים, המבוססים על סיסמאות בודדות לכל מכשיר ותקשורת PG/PC ו-HMI המוגנים על ידי TLS, כך ציינה סימנס בהודעת האבטחה שלה.
אודות Claroty
Claroty (קלארוטי) מאפשרת לארגונים לאבטח מערכות סייבר-פיזיות משולבות (Cyber-Physical Systems) בסביבה התעשייתית (OT), במגזר הבריאות (IoMT) ובמגזר הארגוני (IoT) – המהווים יחד את האינטרנט המורחב של הדברים (XIoT). הפלטפורמה המאוחדת של קלארוטי משתלבת עם תשתיות הקיימות של לקוחות, כדי לספק מגוון שלם של בקרות לנראות, ניהול סיכונים וחולשות אבטחה, זיהוי איומים, וגישה מאובטחת מרחוק. קלארוטי מגובה על ידי חברות ההשקעה וספקי האוטומציה התעשייתית המובילים והגדולים בעולם, ויש לה מאות לקוחות ארגוניים באלפי אתרים ברחבי העולם.
מטה החברה נמצא בניו יורק ויש לה נוכחות באירופה, באסיה-פסיפיק ובאמריקה הלטינית, ולקוחות בכל שבע היבשות. מאז שנוסדה בתל אביב בשנת 2015 על ידי Team8, הושקעו בחברה כ-635 מיליון דולרים. לאתר החברה: www.claroty.com