A CISA a víz- és szennyvízrendszerek (WWS) ágazatában használt Unitronics programozható logikai vezérlők (PLC-k) aktív kihasználására reagált. A kiberfenyegetések szereplői a WWS létesítményekhez kapcsolódó PLC-ket, köztük egy azonosított Unitronics PLC-t vettek célba egy amerikai vízügyi létesítményben.
Válaszul az érintett település vízügyi hatósága azonnal lekapcsolta a rendszert, és átállt a kézi üzemeltetésre – a település ivóvizét vagy vízellátását nem fenyegeti semmilyen ismert kockázat.
A WWS szektor létesítményei PLC-ket használnak a víz- és szennyvíztisztítás különböző szakaszainak és folyamatainak vezérlésére és felügyeletére, beleértve az állomások szivattyúinak be- és kikapcsolását a tartályok és tározók feltöltéséhez, a vegyi anyagok áramlási ütemezését az előírások betartása érdekében, a havi jelentésekhez szükséges adatok gyűjtését, valamint a kritikus riasztások jelentését az üzemek felé.
A szennyvíztisztító létesítmények integritásának illetéktelen hozzáférésére tett kísérletek veszélyeztetik a szennyvíztisztító létesítmények azon képességét, hogy tiszta, iható vizet szolgáltassanak a közösségeknek, és hatékonyan kezeljék a szennyvizet.
A támadók valószínűleg a kiberbiztonság gyengeségeit kihasználva – többek között a gyenge jelszóbiztonságot – jutottak hozzá az érintett eszközhöz, egy Unitronics Vision Series PLC-hez, amelyhez emberi gépi interfész (HMI) tartozik. A WWS létesítmények e fenyegetés elleni védelme érdekében a CISA utasítja a szervezeteket:
- Változtasson meg minden alapértelmezett jelszót a PLC-ken és a HMI-ken, és használjon erős jelszót. Győződjön meg róla, hogy a Unitronics PLC alapértelmezett “1111” jelszava nincs használatban.
- Követelje meg a többfaktoros hitelesítést az OT hálózathoz való minden távoli hozzáféréshez, beleértve az IT hálózatból és a külső hálózatokból történő hozzáférést is.
- Kapcsolja le a PLC-t a nyílt internetről. Ha távoli hozzáférés szükséges, ellenőrizze a PLC hálózati hozzáférését.
- A PLC előtt tűzfalat/VPN-t kell telepíteni a távoli PLC hálózati hozzáférésének ellenőrzésére. Egy VPN vagy átjáró eszköz akkor is engedélyezheti a többfaktoros hitelesítést a távoli hozzáféréshez, ha a PLC nem támogatja azt. A Unitronics-nak továbbá van egy mobilhálózat-alapú eszköze, amely biztonságosan kapcsolódik a felhőszolgáltatásaikhoz.
- Használjon engedélyezési listát az IP-címek eléréséhez.
- A gyors helyreállítás érdekében készítsen biztonsági másolatot a Unitronics PLC-kről. Ismerje meg a gyári visszaállítás és a konfigurációk eszközre történő telepítésének folyamatát, arra az esetre, ha a készüléket zsarolóprogram támadja meg.
- Ha lehetséges, használjon az alapértelmezett TCP 20256-os porttól eltérő portot. A támadók célba veszik a TCP 20256-ot, miután „network probing”-al azonosították azt, mint a Unitronics PLC-hez kapcsolódó portot. Miután azonosították, a PCOM/TCP-re jellemző scripteket használnak a rendszer lekérdezésére és validálására, ami lehetővé teszi a további szondázást és a csatlakozást. Ha rendelkezésre áll, PCOM/TCP szűrőkkel elemzik a csomagokat.
- A PLC/HMI frissítése a Unitronics által biztosított legújabb verzióra.
A CISA és a WWS ágazati partnerei számos olyan eszközt és forrást fejlesztettek ki, amelyeket a vízművek felhasználhatnak a kiberbiztonság növelésére. Kérjük, látogasson el a következő weboldalra:
- CISA: Water and Wastewater Cybersecurity
- EPA: Cybersecurity for the Water Sector
- WaterISAC: Resource Center
- American Water Works Association: Cybersecurity and Guidance
(cisa.gov)