Qualche giorno fa ho avuto modo di analizzare una CVE relativa ad un sistema di gestione delle reti appositamente creato per proteggere i sistemi che compongono una rete industriale, ovvero quel complesso aggregato di sistemi connessi da un lato alle reti IP e dall’altro alle reti OT.
La CVE in questione, datata 10 agosto, notifica la possibilità di eseguire “Command Injection” ai danni del prodotto Siemens Sinec NMS. La cosa interessante è che il prodotto è stato concepito per semplificare la gestione della sicurezza dei dispositivi OT di una rete industriale con specifiche funzionalità di firewalling, asset management, patch management, ecc…
In una rete complessa e ricca di dispositivi, nel mondo IT tanto quanto nel mondo OT, è indispensabile definire procedure e regole per l’aggiornamento e la protezione dei sistemi, se la rete è particolarmente grande o complessa è poco plausibile pensare di fare tutto a manina. Adottare strumenti di gestione centralizzati è quindi del tutto naturale oltre che auspicabile.
In un contesto operativo dove è del tutto normale strutturare sistemi di gestione centralizzati va ancor di più considerato il livello di allerta nella gestione degli asset che ci semplificano la governance in quanto un problema di sicurezza su una piattaforma centralizzata potrebbe generare fastidi e incident di una certa portata.
La CVE in oggetto è un esempio perfetto: stando alla documentazione ufficiale il software è in grado di eseguire la gestione dei sistemi OT attraverso la rete (rif. documentazione Siemens: https://assets.new.siemens.com/siemens/assets/api/uuid:4fc55df6-c6da-4fbc-8112-8a910b668e23/network-management-for-more-network-security.pdf). Vista la tipologia della vulnerabilità descritta anche in una nota del produttore (https://cert-portal.siemens.com/productcert/pdf/ssa-756744.pdf) sarebbe possibile compromettere il sistema di gestione e di conseguenza interferire sull’operatività dei dispositivi stessi.
E’ molto probabile che gli utilizzatori di queste tipologie di software siano in parte dipendenti dal buon funzionamento della piattaforma, ragion per cui il business impact potrebbe essere stato classificato come elevato. Il rilevamento di una vulnerabilità con score elevato come quella riportata in questa CVE deve quindi innescare una immediata reazione di mitigation e remediation in accordo con il piano di gestione delle vulnerabilità che tutti dovremmo avere.
Nel caso specifico la nota di Siemens segnala che non ci sono azioni di mitigation salvo valutare l’applicazione di rules per limitare l’accesso al sistema. E’ però già disponibile una versione che non presenta la falla: SINEC NMS V1.0 SP2 rilasciata il 18 maggio.
La nota di rilascio della v1.0 SP2 da un altro spunto di riflessione: l’update non era classificato come security update, si trattava infatti di un rilascio che riportava nuove funzionalità e miglioramenti al software. Spesso vengono implementati piani di patch management che tendono ad escludere o non dare nessuna priorità agli update e si tende a dar seguito al patching dei sistemi quando si presenta un fix legato alla sicurezza del sistema.
In questo caso questa condotta avrebbe portato ad una involontaria esposizione ad un rischio (anche se non noto) in quanto l’installazione della SP2 avrebbe di fatto prevenuto lo sfruttamento della vulnerabilità segnalata solo tre mesi dopo.
Patch Management e Vulnerability Management sono due procedure che possono convergere ma non sarebbe sano adottare solo una delle due.
Rocco Sicilia 