Hoe Red Teaming de industriële beveiliging versterkt: Inzichten van ABB

Een beveiligingsupdate is bedoeld om systemen te beschermen, niet om nieuwe risico's te introduceren. Maar wat als een aanvaller juist dat updateproces zou kunnen manipuleren? Dit was de vraag die centraal stond tijdens een Red Teaming-opdracht uitgevoerd door Secura en Midnight Blue in samenwerking met een Distribution System Operator (DSO). In dit artikel worden de bevindingen, de risico's en de geleerde lessen voor industriële operators toegelicht.

De enige geluiden in de kamer waren het gestage geklik van toetsenborden en stille discussies over aanvalsstrategieën. Na weken van voorbereiding - informatie verzamelen, aanvalspaden in kaart brengen en echte tactieken simuleren - vond het Red Team wat ze zochten. Een zwakke plek in het updateproces van ABB, klein maar significant. Als er misbruik van wordt gemaakt, kan een aanvaller hele industriële omgevingen in gevaar brengen.

Deze ontdekking kwam uit een Red Teaming beoordeling uitgevoerd door Secura en Midnight Blue in samenwerking met een Distribution System Operator (DSO). De resultaten benadrukken de risico's die industriële organisaties lopen en versterken waarom beveiligingsbeoordelingen essentieel zijn.

Eén van de belangrijkste kwetsbaarheden die tijdens de beoordeling werd ontdekt, was CVE-2024-8036, een ernstig beveiligingslek in meerdere ABB producten. Deze kwetsbaarheid stelt industriële systemen bloot aan risico's zoals firmware manipulatie, denial of service en zelfs remote code execution. Inzicht in de details van deze CVE is cruciaal voor organisaties die vertrouwen op de industriële oplossingen van ABB.

Het risico: onbeveiligde updates in industriële systemen

Aanvallers vertrouwen niet altijd op complexe exploits om netwerken te infiltreren. Soms voegen ze kwaadaardige code toe aan routinematige software-updates. De beoordeling van de systemen van ABB bracht een dergelijk risico aan het licht-CVE-2024-8036-een kwetsbaarheid in het updatemechanisme waarmee een aanvaller software-updates zou kunnen manipuleren. In industriële omgevingen kan de impact variëren van productieonderbrekingen tot ernstige veiligheidsincidenten.

Malformed Configuration Updates

Verschillende ABB Relion Intelligent Electronic Devices (IED's) bleken kwetsbaar voor misvormde configuratie-updates, wat mogelijk kan leiden tot een denial-of-service-scenario. Aanvallers konden:

1. Authenticeren met behulp van standaard of onderschepte referenties.
2. Kritieke configuratiebestanden verwijderen, waardoor de beveiligings- en besturingsfunctionaliteit wordt uitgeschakeld.
3. Wachtwoorden op afstand wijzigen, overrides uitschakelen en IP-configuraties verstoren.
4. De IED opnieuw opstarten, waardoor operators worden buitengesloten en de herstelwerkzaamheden worden bemoeilijkt.

Wanneer de IED opnieuw is opgestart, wordt deze geïnitialiseerd zonder de juiste configuratie, waardoor zowel externe als lokale bediening van schakelapparatuur en onderbrekers onmogelijk wordt, waardoor het operationele risico verder toeneemt.

Onondertekende firmware-updates

ABB Relion IED's bleken ook firmware-updates toe te staan zonder cryptografische ondertekening. Aanvallers konden:

1. Authenticeren met behulp van standaard of onderschepte referenties.
2. Een kwaadaardig firmwarebestand verzenden via FTP(S), waardoor een automatische herstart wordt geactiveerd.
3. Installeer aanhoudende bedreigingen op firmwareniveau, waardoor detectie en herstel uiterst moeilijk worden.

Wat gebeurde er daarna?

Nadat de grote kwetsbaarheid was ontdekt, stelde ABB een Product Advisory Note 2NGA002288 op met een beschrijving van de context en aanbevolen maatregelen om deze kwetsbaarheid aan te pakken. Eigenaars van bedrijfsmiddelen werd aanbevolen om het risico van deze kwetsbaarheid voor hun omgevingen en activiteiten te evalueren en de aanbevolen maatregelen te implementeren voordat deze openbaar werden gemaakt.

Waarom Red Teaming cruciaal is voor industriële beveiliging

Red Teaming is meer dan alleen een beveiligingstest-het is een simulatie van hoe een vastberaden aanvaller een industrieel systeem zou benaderen. In de samenwerking met de DSO met ABB apparaten bootste ons team de tactieken van geavanceerde aanvallers na, op zoek naar zwakke plekken die in een echt aanvalsscenario zouden kunnen worden uitgebuit.

Eén van de belangrijkste onthullingen was hoe gemakkelijk traditionele beveiligingsmaatregelen kunnen worden omzeild als organisaties alleen vertrouwen op beoordelingen op basis van naleving. Standaard penetratietests richten zich vaak op vooraf gedefinieerde parameters, terwijl Red Teaming verder gaat en kwetsbaarheden blootlegt in de systeemarchitectuur, updateprocessen en strategieën om op incidenten te reageren. Dit diepere niveau van testen legt verborgen zwakheden bloot die, als ze niet worden gecontroleerd, kunnen leiden tot catastrofale systeemstoringen.

Naast het identificeren van technische hiaten dient Red Teaming ook als een kritische oefening in voorbereid zijn op het reageren op incidenten. De ABB-case toonde aan dat zelfs goed voorbereide teams moeite hadden om bepaalde aanvalsvectoren in realtime te detecteren en te beperken. Door echte aanvallen te simuleren, doen organisaties uit de eerste hand ervaring op met het identificeren van bedreigingen voordat ze zich manifesteren in grootschalige incidenten.

Verder kwam beveiliging van de toeleveringsketen naar voren als een belangrijk punt van zorg. Industriële systemen zijn vaak afhankelijk van software van derden en kwetsbaarheden in deze componenten kunnen aanzienlijke risico's met zich meebrengen. Door middel van Red Teaming was ABB in staat om hun mechanismen voor software-updates te beoordelen en te versterken, waardoor de kans op infiltratie van kwaadaardige firmware werd verkleind.

Key Takeaways voor industriële exploitanten

De samenwerking met de DNB waarbij apparaten van ABB betrokken waren, onderstreept cruciale lessen voor industriële cyberbeveiliging:

• Beveiligen van updatemechanismen is essentieel - Organisaties moeten de authenticiteit van alle software-updates verifiëren om aanvallen in de toeleveringsketen te voorkomen.
• Veiligheid is een continu proces - Bedreigingen blijven zich ontwikkelen, waardoor periodieke Red Teaming-evaluaties essentieel zijn om potentiële risico's voor te blijven.
• Externe expertise verbetert de beveiliging - Samenwerking met beveiligingsspecialisten, zoals Secura en Midnight Blue, biedt nieuwe perspectieven en helpt beveiligingshiaten te dichten die interne teams over het hoofd zouden kunnen zien.

Volgende stappen

De bevindingen in de systemen van ABB herinneren ons aan het belang van proactieve beveiligingsinspanningen. Red Teaming gaat niet alleen over het vinden van zwakke plekken - het helpt organisaties een sterkere verdediging op te bouwen. Secura, in samenwerking met Midnight Blue, voert geavanceerde beveiligingsbeoordelingen uit om risico's te ontdekken voordat aanvallers dat doen.