Clusir Rhne-Alpes Club SSI, le 25/02/2015

Vulnrabilits
SCADA/ICS
Listing des 10 vulnrabilits les plus
frquemment rencontres lors de missions

Wilfrid BLANC - LEXSI

CLUSIF / CLUSIR Rha Cyberscurit industrielle 1

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Introduction (1/2)

Ralisation de nombreuses missions en contexte

industriel depuis 2011
Audit :
Tests dintrusion
Audits darchitecture & revues organisationnelles
Tests de cloisonnement IT/ICS
Revues de configuration, etc.
Conseil :
Analyses de risques en contexte industriel
Accompagnements politique de cyberscurit industrielle et
gouvernance
tudes des normes/rfrentiels applicables, etc.

CLUSIF / CLUSIR Rha Cyberscurit industrielle 2

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Introduction (2/2)

Benchmark des 10 vulnrabilits les plus souvent

rencontres lors de nos missions
Mthode de calcul
Identification dun catalogue de 53 vulnrabilits techniques
et organisationnelles
Alimentation dun fichier de capitalisation chaque mission
industrielle
En Fvrier 2015, dition dune premire version du benchmark
avec lintgration des rsultats des missions ralises sur les 4
dernires annes

A la diffrence du top ten de lOWASP, aucune notion de

criticit nest intgre cette tude (pour linstant)

CLUSIF / CLUSIR Rha Cyberscurit industrielle 3

Clusir Rhne-Alpes Club SSI, le 25/02/2015

#10 - Pas de consigne de dveloppement scuris

86% dexposition
Exemples :
Stockage de comptes en clair ou encods trivialement en BDD
WebIHM vulnrables lOWASP Top Ten
Mots de passe hardcods
Consquences :
Vulnrabilits aisment exploitables par un attaquant
Obtention de logins/mots de passe daccs au SCADA
Perturbation de la supervision
Recommandations :
Inclure des clauses de dveloppement scuris dans les
contrats/cahiers des charges

CLUSIF / CLUSIR Rha Cyberscurit industrielle 4

Clusir Rhne-Alpes Club SSI, le 25/02/2015

#9 Pas de tests scurit

86% dexposition
Exemples :
Aucune ralisation daudit de scurit sur le primtre ICS
Consquences :
Prsence de vulnrabilits aisment exploitables par un
attaquant
Absence de feuille de route pour la cyberscurit industrielle
Recommandations :
Effectuer un premier diagnostic via un audit effectu par un
partenaire externe
Sauto-valuer :
o sur la base des rfrentiels ANSSI
o outils de lICS-CERT : CyberSecurity Evaluation Tool (CSET)

CLUSIF / CLUSIR Rha Cyberscurit industrielle 5

Clusir Rhne-Alpes Club SSI, le 25/02/2015

#8 Gestion des comptes non maitrise

87% dexposition
Exemples :
Comptes par dfaut (USER/USER, winccd/winccpass, etc.)
Mots de passe faibles ou triviaux (vides, nom client, nom
intgrateur, mot du dictionnaire vident, etc.)
Comptes gnriques
Utilisateurs disposant des privilges administrateur sur lOS
Consquences :
Possibilit de connexion illgitime diffrentes ressources
Obtention de droits levs sur les systmes dexploitation
Recommandations :
Ne pas effectuer dinstallations avec les paramtres par dfaut
(proscrire les mots de passe par dfaut)
Utiliser autant que possible des mots de passe complexes et uniques
(utilisation possible de coffres-forts type KeePass)
Ne pas utiliser les privilges administrateur local dans le cadre de
tche courante dutilisation/dexcution de programmes

CLUSIF / CLUSIR Rha Cyberscurit industrielle 6

Clusir Rhne-Alpes Club SSI, le 25/02/2015

#7 Interconnexion SIG/SII non scurise

89% dexposition
Exemples :
Un seul et unique rseau regroupant la bureautique et le SI
industriel
Prsence dun firewall mais rgles non matrises
Flux directs sans passer par une DMZ
quipements bypassant le firewall (serveurs/postes avec plusieurs
interfaces rseau branches de part et dautre du FW)
Consquences :
Possibilits de rebond dans le SI industriel partir du SI de gestion
Composants industriels exposs des actes de malveillance
volontaires ou involontaires
Recommandations :
Larchitecture doit tre cloisonne entre : le SI bureautique, une ou
plusieurs DMZ dchanges, le SI industriel
Les flux doivent tre matriss entre ces diffrentes zones de scurit
inventaire des quipements communicants et des flux associs
Un rebond systmatique en DMZ est ncessaire pour les changes
IT/ICS, idalement avec une rupture protocolaire

CLUSIF / CLUSIR Rha Cyberscurit industrielle 7

Clusir Rhne-Alpes Club SSI, le 25/02/2015

#6 - Absence dantivirus
90% dexposition
Exemples :
Pas dantivirus install ni sur les serveurs ni postes de supervision
Identification dans 50% des cas de la prsence du vers conficker sur des
postes de supervision industrielle
Consquences :
Infections de postes et serveurs par des malwares imports via des cls
USB
En cas dattaque, installation et excution de Trojans, RAT facilitant la
compromission du systme industriel
Perturbation du systme industriel
Recommandations :
Effectuer un premier diagnostic de ltat dinfection -ou non- du
systme industriel
Installer un antivirus sur les postes/serveurs
Idalement intgrer un antivirus avec des fonctionnalits type
HIPS et Firewall
Dployer rgulirement des mises jours des signatures
ncessite une infrastructure ddie

CLUSIF / CLUSIR Rha Cyberscurit industrielle 8

Clusir Rhne-Alpes Club SSI, le 25/02/2015

#5 - Absence de veille en cyberscurit

90% dexposition
Exemples :
Pas ou peu de connaissance des menaces et vulnrabiltis
affectant les systmes et composants industriels
Consquences :
Pas de culture cyberscurit industrielle
Absence dintgration de la scurit dans les projets
Recommandations :
Initier une dmarche de veille et information des
collaborateurs
Diffrentes sources dinformations :
o CERTs : CERT-FR, ICS-CERT, SIEMENS ProductCERT
o Blogs & mailing lists : scadastrangelove, digital bond,
tofino, scadahacker.com

CLUSIF / CLUSIR Rha Cyberscurit industrielle 9

Clusir Rhne-Alpes Club SSI, le 25/02/2015

#4 IHM connecte en permanence

92% dexposition
Exemples :
Session Windows non verrouille et IHM accessible (accs
physique au poste de supervision)
IHM connecte en permanence avec un compte admin
Consquences :
Perturbation du procd industriel via lIHM (compromission
logique du poste ou accs physique)
Recommandations :
Introduire un Timeout de la session sur le logiciel de supervision
pour un verrouillage automatique
Connexion lapplicatif via une smart-card ou token-USB pour
viter aux oprateurs de taper un mot de passe

CLUSIF / CLUSIR Rha Cyberscurit industrielle 10

Clusir Rhne-Alpes Club SSI, le 25/02/2015
#3 - Absence de capacit de dtection
d'intrusion (SIEM, IPS/IDS) - 93%
dexposition
Exemples :
Absence de centralisation des journaux systme et danalyse de
ces derniers (ArcSight, Splunk, etc.)
Absence de sondes de dtection/prvention dintrusion (Suricata,
Snort)
Consquences :
Incapacit dtecter les attaques : tentative de brute-force sur
une machine par exemple, envoi dordres aux quipements
terrain, etc.
Incapacit dtecter les signaux faibles prcurseurs dattaques
type APT : installation dun RAT (Remote Admnistration Tool)
Recommandations :
Possibilit de dployer un SIEM et de corrler les journaux en
provenance des couches hautes du systme industriel
(serveurs et postes du SCADA)
Dployer une/des sondes IPS/IDS, Snort et Suricata supportent
dores et dj le protocole Modbus/TCP

CLUSIF / CLUSIR Rha Cyberscurit industrielle 11

Clusir Rhne-Alpes Club SSI, le 25/02/2015

#2 - Utilisation de protocoles non scuriss

93% dexposition
Exemples :
FTP, Telnet, VNC, SNMP etc. utiliss sans chiffrement
Consquences :
Rcupration de logins/mots de passe
Rcupration de Challenge/Response VNC pouvant tre
attaqus hors-ligne (dictionnaire ou brute-force)
Connexion illgitime des quipements rseau, serveurs voire
IHMs
Dni/perturbation de service en modifiant des configurations
rseau par exemple
Recommandations :
Basculer vers des protocoles assurant la confidentialit et
lintgrit des donnes : SFTP, SSH, SNMPv3 et durcir la
configuration des serveurs VNC (signature et chiffrement du
trafic)
CLUSIF / CLUSIR Rha Cyberscurit industrielle 12 12
Clusir Rhne-Alpes Club SSI, le 25/02/2015

#1 - Scurit des systmes

dexploitation/firmware 93% dexposition
Exemples :
Systmes dexploitation obsoltes (Win NT, Win2k, WinXP)
Systmes dexploitation non jour (MS08-067)
Firmware automates anciens (vulnrabilits publiques,
backdoors constructeurs)
Pas de hardening (mots de passes stocks en LM, privilges
administrateur local, configurations par dfaut, services
inutiles exposs)
Consquences :
Compromission instantane de machines/quipements terrain
Prise de main sur le SCADA/IHMs
Perturbation automates
Pivot/rebond sur dautres primtres

CLUSIF / CLUSIR Rha Cyberscurit industrielle 13

Clusir Rhne-Alpes Club SSI, le 25/02/2015

#1 - Scurit des systmes

dexploitation/firmware 93% dexposition

Serveur SCADA sous Win2000 Automate SIEMENS S5 (plus support par le

constructeur)

Exploitation de failles logicielles via metasploit Backdoor FTP dans un firmware

Schneider
(rcemment patche)

CLUSIF / CLUSIR Rha Cyberscurit industrielle 14

Clusir Rhne-Alpes Club SSI, le 25/02/2015

#1 - Scurit des systmes

dexploitation/firmware 93% dexposition
Recommandations :
Avoir une vue, au moins moyen terme, pour la migration des
OS/firmware obsoltes vers des systmes rcents
Mettre en place un process itratif (en commenant petit) pour
une application des patchs de scurit critiques, au moins une
fois par an
Durcir les systmes dexploitation
Dsactiver les services inutiles

CLUSIF / CLUSIR Rha Cyberscurit industrielle 15

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Scenario typique dattaque (ralis lors dun

audit)
Parmi les vulnrabilits les plus
frquemment rencontres, certaines
sont critiques et reprsentent un
niveau de risque non ngligeable

CLUSIF / CLUSIR Rha Cyberscurit industrielle 16

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Scenario typique dattaque (ralis lors dun

audit)
#2 Absence de capacits de dtection
Aucune solution de SIEM, IPS ou IDS ne
permet de dtecter/bloquer lattaquant
dans ses phases de dcouverte (scans)

CLUSIF / CLUSIR Rha Cyberscurit industrielle 17 17

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Scenario typique dattaque (ralis lors dun

audit)
#1 - Scurit des systmes dexploitation
Identification dune machine vulnrable
sur le SI de gestion et compromission de
cette dernire, rcupration de
diffrents mdp

CLUSIF / CLUSIR Rha Cyberscurit industrielle 18

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Scenario typique dattaque (ralis lors dun

audit)
#6 Interconnexion SII/SIG non scurise
La machine dispose de 2 cartes rseau
#4 Absence de veille en cyberscurit
il sagit dune backdoor installe par
un automaticien pour contourner le FW

CLUSIF / CLUSIR Rha Cyberscurit industrielle 19

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Scenario typique dattaque (ralis lors dun

audit)
#5 Absence dantivirus
Installation dun RAT permettant
dutiliser la station comme point de
pivot vers le SI industriel

CLUSIF / CLUSIR Rha Cyberscurit industrielle 20

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Scenario typique dattaque (ralis lors dun

audit)
#7 Mauvaise gestion des comptes
Le mot de passe rcupr sur la station
peut tre utilis sur les postes
industriels

CLUSIF / CLUSIR Rha Cyberscurit industrielle 21

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Scenario typique dattaque (ralis lors dun

audit)
#3 Utilisation de protocoles non scuriss
Une coute rseau entre un poste de supervision
et le serveur SCADA permet de rcuprer un C/R
VNC
#7 Mauvaise gestion des comptes
Le mot de passe VNC tant trivial, il est
rapidement cass et permet daccder aux
diffrentes IHM

CLUSIF / CLUSIR Rha Cyberscurit industrielle 22

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Scenario typique dattaque (ralis lors dun

audit)
#4 IHM connecte en permanence
Laccs aux IHM permet denvoyer des
ordres aux quipements terrain et de
perturber le procd industriel

CLUSIF / CLUSIR Rha Cyberscurit industrielle 23

Clusir Rhne-Alpes Club SSI, le 25/02/2015

Conclusion

Nous avons pu voir les dix vulnrabilits les plus

courantes dans le monde industriel
Aucune notion de criticit na t introduite dans notre
analyse
Cependant, on observe que de nombreuses
vulnrabilits du top 10 peuvent fortement aider un
attaquant dans la compromission dun SI industriel

CLUSIF / CLUSIR Rha Cyberscurit industrielle 24