Jeden z głównym sterowników rodziny Siemens Simatic S7-1500, ma poważną lukę bezpieczeństwa. Jest to luka sprzętowa na poziomie zainstalowanego w nim procesora kryptograficznego, więc obecnie nie do usunięcia lub załatania. Siemens twierdzi, że pracuje z klientami nad oprogramowaniem do audytu i nowym typem kontrolerów. Być może trzeba będzie stopniowo wymieniać wszystkie sterowniki S7-1500. A są one instalowane na całym świecie w setkach tysięcy firm od małych po korporacje: od branży przetwórstwa żywności po gazociągi, produkcję militarną i energetykę.
Wprowadzenie przez wywiad izraelski do irańskiej sieci komputerowej (zawiadującej zakładami wzbogacania uranu w Natnz w Iranie), robaka Stuxnet uszkadzającego programowalne kontrolery logiczne wirówek, pokazało jak wielką wagę mogą mieć ataki na urządzenia PLC. To sterowniki i kontrolery, przy czym zdecydowana ich większość jest produkowana i sprzedawana przez jedną firmę – koncern Siemens. Od pracy tych urządzeń zależy przemysł elektromaszynowy, elektroniczny, motoryzacyjny, a nawet energetyka i przetwórstwo spożywcze. Sterowniki z rodziny Simatic S7 Siemensa są po prostu wszechobecne. Tymczasem Siemens ujawnił, że w najbardziej zaawansowanych z nich – serii S7-1500 – istnieje duża luka zabezpieczeń, którą można wykorzystać do instalacji malware, które umożliwi przejęcie kontroli nad zaatakowanymi urządzeniami.
Lukę, według raportu „Wired”, odkryła firma bezpieczeństwa Red Balloon Security badająca stan bezpieczeństwa urządzeń wbudowanych oraz standardy oceny firmware S7-1500, od 2013 r. szyfrowanego przez Siemensa dla zapewnienia dodatkowej ochrony. Oprogramowanie firmware to kod niskiego poziomu, który zapewnia prawidłowe działanie kontrolera. Jak się okazało, luka jest poważna, bowiem wynika z błędu w interpretacji kryptografii, którą było szyfrowane. A że schemat jest fizycznie preinstalowany na dedykowanym chipie ATECC CryptoAuthentication, nie da się zrobić niczego poza fizyczną wymianą kości kryptograficznej we wszystkich sterownikach. Problem w tym, że ta jest wlutowana w płytę główną sterownika…
Siemens nie planuje więc poprawek dla żadnego ze 122 modeli PLC S7-1500, które firma wymienia jako podatne na ataki, bo byłoby to po prostu nieskuteczne. Jedyne, co według Siemiensa może zrobić klient-posiadacz narażonych na atak sterowników, to przy pomocy działu IT „ocenić ryzyko fizycznego dostępu do urządzenia w docelowym wdrożeniu”, czyli dać dostęp do takich urządzeń tylko zaufanemu personelowi. Jednak zaraz pojawia się problem: luka, mimo iż programowa, jest jednak sprzętowa, bo dotyczy chipa na płycie głównej urządzenia. Jej odkrywcy podnoszą więc wątpliwości czy przypadkiem nie da się jej powiązać z lukami czysto programowymi, by wykorzystać do ataku zdalnego poprzez sieć. Tak zrobili Izraelczycy w przypadku Stuxnet, używając pendrive z malware do infekcji sterowników PLC Siemens Simatic z serii S7-300 i 400. Wtedy jakikolwiek „dostęp zaufanych osób” niczego by nie dawał, infekcja i tak byłaby możliwa. Według Granta Skippera, badacza z Red Balloon Security wszechobecność, prostota instalacji i działania kontrolerów Siemens Simatic S7-1500 czynią takie zagrożenia bardzo poważnymi.
Jak powiedział „Wired” inny badacz firmy, Yuanzhe Wu, luki w zabezpieczeniach mogą spowodować, że procesor kryptograficzny używając zmanipulowanej instrukcji, umożliwi instalację malware.
Jako że firmware jest podstawowym systemem dla funkcjonowania urządzenia, możliwość jego niezauważalnej modyfikacji pozwalałaby na obejście wszystkich innych zabezpieczeń tak, że nikt nie zauważyłby, że przejęto kontrolę nad sterownikiem PLC. Jak przy tym stwierdził Grant Skipper, procesor kryptograficzny jest prosty i dość łatwo ominąć jego zabezpieczenia. Ang Cui, założyciel i dyrektor generalny Red Balloon Security zauważa, że S7 mogą szyfrować firmware dla innych S7 co już jest „znaczącym błędem implementacyjnym”, bo tej drogi można użyć by podstawić malware imitujące oryginalne firmware. Jednak Siemens stwierdza, że luka bezpieczeństwa nie jest związana z aktualizacją firmware, czyli tą najprostszą drogą atakujący nie zdołają zainstalować malware.
Specjaliści bezpieczeństwa podkreślają, że choć przy takim błędzie żadna łata programowa nie zadziała, Siemens mógłby wypuścić narzędzie do audytu firmware dla dowolnego sterownika PLC, aby sprawdzić jego integralność i autentykację, czyli czy doszło do manipulacji przy urządzeniu. Takie oprogramowanie dałoby właścicielom S7-1500 lepszy wgląd w ich sterowniki PLC i możliwość monitorowania ich pod kątem podejrzanej aktywności.
Siemens poinformował, że pracuje nad procesorem nowej generacji, co naprawi lukę w kilku modelach S7-1500, a także iż „pracuje nad nowymi wersjami sprzętu dla pozostałych typów sterowników PLC”. Na razie jednak badacze z Red Balloon nie są w stanie stwierdzić czy istotnie lukę zlikwidowano w najnowszych modelach S7-1500.
Tymczasem sterowników PLC Simatic S7-1500 jest w zastosowaniach przemysłowych bardzo dużo. Cenione za swoją niezawodność i długotrwały czas pracy bezawaryjnej przy stosukowo niskich kosztach, instalowane były wszędzie – od przemysłu petrochemicznego i rurociągów oraz gazociągów (stanowią m.in. podstawowy sprzęt obsługujący przepompownie i stacje kompresorowe w rosyjskich ropo- i gazociągach), poprzez branżę motoryzacyjną, gdzie sterowały robotami przemysłowymi, przemysł elektromaszynowy, energetykę aż nawet po przetwórstwo rolno-spożywcze oraz sterowanie infrastrukturą krytyczną w państwach praktycznie na całym świecie. Były też używane w zakładach produkcji militarnej.
– Problem wygląda na poważny, ale nie sposób go ocenić bez zrobienia „damage control”. Może się skończyć eliminowaniem wszystkich S7-1500 z procesów produkcyjnych i zastosowań w infrastrukturze krytycznej. Ten proces zająłby lata. Wtedy byłoby to konieczne, bo ataki na element który jest osłabiony, jak te sterowniki, w mgnieniu oka może rozłożyć nie tylko produkcję, ale i sporą część infrastruktury w zaatakowanym kraju. Teraz mamy wojnę u granic Polski i mogę tylko westchnąć: jak to dobrze, że Siemensy są zarówno u Amerykanów, w Europie, jak i u Rosjan i Chińczyków. Paradoksalnie, ale zmniejsza to ryzyko zaplanowanego ataku, wywołanego przez aktorów państwowych – powiedział ISBiznes.pl główny specjalista ds. bezpieczeństwa oprogramowania w polskim oddziale w jednej z największych firm bezpieczeństwa sieciowego. Według Ang Cui, problem dopiero zostanie rozstrzygnięty, kiedy ostatnie S7-1500 podatne na ataki przestaną działać i zostaną wyłączone z procesu produkcyjnego, ale do tego czasu podatność i ryzyko ataku pozostaną.
Rafał Bień, dyrektor Factory Automation w Siemens Polska dla ISBiznes.pl
Problem dotyczył kontrolerów S7 pierwszej generacji (dostarczonych do klientów ponad dekadę temu). Zarówno na poziomie globalnym, jak i lokalnym w Polsce, Siemens monitoruje działania swoich rozwiązań. Szczególną uwagę firma poświęca infrastrukturze krytycznej. Ewentualne sygnały w tym zakresie będą przez nas traktowane priorytetowo.
Mamy w Siemensie specjalny zespół do wsparcia i kontaktu z klientami, którzy korzystają z kontrolerów S7 z serii 1500. Ponadto jednostki odpowiedzialne za cyberbezpieczeństwo w Siemens Polska mają zaplanowane przeprowadzenie audytów urządzeń oraz systemów do zarządzania i monitorowania nimi (obszar Operational Technology – OT).
Centrala firmy pracuje również nad specjalną instrukcją dla użytkowników kontrolerów z rodziny S7, która ma na celu jeszcze lepszą ochronę infrastruktury. Zostanie ona udostępniona dla zainteresowanych. Wszystkie te działania mają na celu zwiększenie poziomu bezpieczeństwa systemów Siemensa w obliczu potencjalnych ataków hakerskich.