Armis e Honeywell hanno divulgato congiuntamente 9 vulnerabilità che i ricercatori di Armis hanno trovato nelle piattaforme DCS Honeywell Experion e che potrebbero consentire l’esecuzione di codici remoti non autorizzati su entrambe le versioni legacy del server e dei controller Honeywell. Se sfruttate, queste vulnerabilità permetterebbero a un aggressore di prendere il controllo dei dispositivi e di alterare il funzionamento del controller DCS, nascondendo al contempo le alterazioni alla workstation di ingegneria che gestisce il controller DCS. Lo sfruttamento di queste vulnerabilità non richiede l’autenticazione, ma solo l’accesso alla rete dei dispositivi interessati. Potenzialmente qualsiasi asset IT, IoT e OT compromesso nello stesso network del dispositivo DCS potrebbe essere utilizzato per un attacco.

Nel maggio 2022 Armis ha confermato a Honeywell la scoperta di 13 problemi di codice riscontrati nel controller e nel server Experion C300. Questi problemi si traducono in 9 nuove vulnerabilità, 7 delle quali considerate critiche. A causa della gravità e dell’impatto delle vulnerabilità, Honeywell e Armis hanno collaborato per indagare su queste scoperte, comprendere i problemi sottostanti e lavorare a una soluzione. Honeywell ha reso disponibili le patch di sicurezza e consiglia vivamente a tutti i clienti interessati di applicarle immediatamente.

La ricerca di Armis ha rivelato i punti deboli del protocollo CDA, un protocollo proprietario progettato da Honeywell e utilizzato per la comunicazione tra i server Honeywell Experion e i controller C300; questi ultimi sono utilizzati in tantissimi settori industriali (chimico, manufatturiero, petrolifero) e i rischi di incursione potrebbero causare danni molto seri. Il protocollo CDA manca di crittografia e di meccanismi di autenticazione adeguati. Di conseguenza, chiunque abbia accesso alla rete è in grado di impersonare sia il controller che il server. Inoltre, il protocollo CDA presenta dei difetti di progettazione che rendono difficile il controllo dei confini dei dati e possono portare a buffer overflow.

outlook smartscreen

Honeywell implementa anche un protocollo CDA Data Client Named Access sul Server Experion, che è utilizzato per la comunicazione tra il Server Honeywell Experion e le applicazioni Experion, consentendo l’accesso ai tag names da parte di tali applicazioni. È stato riscontrato che l’implementazione di Honeywell di questo protocollo contiene 4 vulnerabilità che consentono l’esecuzione di codice remoto (RCE) sul Server Experion. Durante il processo di divulgazione si è anche scoperto che, a causa del riutilizzo del codice vulnerabile in altri prodotti, le vulnerabilità riguardano anche le piattaforme LX e PlantCruise di Honeywell.

Le vulnerabilità appena scoperte interessano una serie di prodotti di diverse versioni di tre piattaforme DCS Honeywell Experion: nella piattaforma Experion Process Knowledge System (EPKS) (Experion Server e Experion Station) e in quelle LX e PlantCruise (Engineering Station e Direct Station). Inoltre, le vulnerabilità riguardano il controller C300 DCS, utilizzato in tutte e tre le piattaforme.

Honeywell ha reso disponibile delle patch di sicurezza e consiglia vivamente a tutte le organizzazioni interessate di installarle. I clienti di Honeywell possono avere accesso alle patch accedendo a questa pagina e cercando nella sezione Techincal Publication. È essenziale dare priorità all’implementazione di queste patch e aggiornamenti del firmware per risolvere efficacemente le vulnerabilità segnalate. Inoltre, le organizzazioni dovrebbero continuare a impegnarsi per adottare misure di sicurezza solide, tra cui valutazioni di sicurezza di routine, test di penetrazione e formazione completa sulla sicurezza per i team di sviluppo.