Una ricerca della Unit42 di Palo Alto Networks riaccende i riflettori sull’importanza della sicurezza delle infrastrutture critiche e in particolar modo sui rischi che derivano dall’abuso da parte degli attaccanti delle operazioni di file system privilegiate - operazioni che possono essere eseguite su un file system solo da parte di utenti o processi con diritti speciali o privilegi elevati, fra cui la modifica, la cancellazione o la creazione di file in aree protette del sistema operativo.

Nel dettaglio, i ricercatori hanno scoperto delle gravi falle a carico di ICONICS Suite 10.97.3 e precedenti per piattaforme Windows, ossia una suite di soluzioni SCADA progettate per l'automazione industriale e la gestione delle operazioni, che è ampiamente utilizzata in settori sensibili quali government, militare, manufacturing, gestione delle acque e dei rifiuti, utility ed energia. Per comprendere la gravità del problema basti sapere che ICONICS Suite è presente in centinaia di migliaia di sistemi in oltre 100 paesi.

Le vulnerabilità

Le falle in questione sono cinque, hanno indici di gravità inclusi fra 7.0 e 7.8 (quindi alto) e, se sfruttate, possono consentire agli attaccanti di eseguire codice arbitrario, elevare i propri privilegi e compromettere l'integrità dei sistemi, così da interferire con macchinari finanche a bloccare infrastrutture critiche.

Una delle vulnerabilità chiave identificate è monitorata con la sigla CVE-2024-1182 ed è relativa a un problema di DLL hijacking nel componente Memory Master Configuration (MMCFG). Sfruttandola, un attaccante può elevare i propri privilegi mediante la sovrascrittura delle DLL legittime con versioni malevole, così da ottenere l'esecuzione di codice arbitrario. Un'altra falla significativa è la CVE-2024-7587, che coinvolge permessi predefiniti errati nel componente GenBroker32. Un attaccante autenticato può sfruttarla per divulgare o manomettere informazioni riservate.

Invece, le vulnerabilità CVE-2024-8299 e CVE-2024-9852 possono consentire a un attaccante locale autenticato di eseguire codice malevolo tramite una DLL appositamente creata nella cartella dell'applicazione. Infine, CVE-2024-8300 consente a un attaccante autenticato di eseguire codice malevolo manomettendo una DLL appositamente creata.

I bug sono stati segnalati in forma riservata al produttore software, e al momento della pubblicazione generale sono già disponibili le patch di sicurezza che chiudono la maggior parte dei bug, più gli avvisi di sicurezza che includono le misure di mitigazione consigliate per gli altri casi. Considerata la gravità delle conseguenze di eventuali sfruttamenti, è evidente l’urgenza nella applicazione delle patch e nell’attuazione delle linee guida fornite per mitigare i rischi associati a queste vulnerabilità.

Gli esperti ricordano inoltre l’importanza di eseguire una valutazione completa della sicurezza dei sistemi SCADA attivi e la conseguente adozione di misure di sicurezza aggiuntive. Buona prassi sarebbe l’adozione di soluzioni di monitoraggio continuo, di patch management e percorsi di awareness per tutto il personale. Sono tutte opzioni approfondite nell’ambito del nostro Speciale OT Security.