new Malware: Synology NAS / Router apparatuur ook Potentiele VPNFilter targets

[aliazzz]

Mischien onnodig, mischien ook niet!

Lees zowie deze blog: https://blog.talosintelligence.com/2018/05/VPNFilter.html

en

https://tweakers.net/nieuws/138949/cisco-treft-malware-aan-op-routers-van-onbekend-aantal-nederlanders.html

Aangezien ook synology NASsen en Routers produceerd kan dit in de nabije toekomst een potential hazard worden.

Over die SCADA systemen maak ik persoonlijk me niet zo druk, wie gebruikt er  nog Modbus-TCP in deze tijd? LOL

Houdt het nieuws en de Synology eNews Security Advisory scherp in de gaten! Ik zal dit zowiezo volgen.

[Ds211]

modbus over tcp-ip wordt steeds meer gebruikt en hangen hetzij wel via vpn aan internet
dat in een thuis situatie niet gebruikt word dat geloof ik wel.

maar je kan beter niet linken naar de nos site deze lijkt mij beter al zou het alleen maar om de reacties zijn.

[aliazzz]

Zwaar offtopic;

Heerlijk die goeie ouwe, niet "by-design secure" industriele protocollen uit de oude doos.
Modbus-tcp is, zonder een vpn tunnel, inderdaad een zeer groot risico, een man in the middle attack is zo gepiept.
Bij het over internet m2m uitwisselen van gegevens is een TLS/VPN tunnel gewoon verplicht (het liefts point to point tussen controllers en niet van router tot router). Nog beter zou zijn een dedicated dark fibre tussen locatie A & B maar je moet dan ook de infra beheren etc etc.

Een zeer mooie opvolger voor ModbusTcp is bijvoorbeeld MQTT v311 (met TLS encryptie built in).
Dit protocolletje heb ik meerdere malen met succes ingezet in diverse M2M projecten, werkt prima en is net als modbustcp zeer light-weight. ModbusTcp wordt bij ons juist zo snel mogelijk uitgefaseerd (Geen security en een gebrek aan meta informatie (=coils (bits) /word data, zonder context).
Naast MQTT is OPC-UA een zeer secure en rete-modern alternatief! Biedt legio voordelen maar vereist ook een wat moderne CPU.
Een beetje SCADA fabrikant ondersteund zowel OPC-UA, als MQTT en daarnaast als legacy ModbusTcp. Laat dat laatste lekker voor wat het is: legacy.

[Ds211]

klopt maar ik gok zo maar eens dat 95% van de modbus units niet via internet benaderbaar zijn.
althans de systemen die ik gebouwd heb heb ik er maar een achter vpn zitten en de rest kan alleen lokaal benaderd worden.

[aliazzz]

Zelfs binnen eigen beheerde netwerken passen wij bij m2m altijd p2p encryptie toe. Ookal hangen deze netwerken nooit direct aan de boze buitenwereld. Niet omdat het moet, maar omdat het kan en gewoon domweg altijd "beter" is.
Better be safe then sorry  .

Binnen mijn thuisnetwerkje pas ik ook verplichtte https connecties toe op mijn nassen. Kost geen moeite en kan geen kwaad.

Goed, komen we eigenlijk via een omweg weer terug op het startpunt van dit topic: Security.

Als je router/nas al niet eens te vertrouwen is, waarom zou je dan op je zgn LAN wat niet direct aan het WAN hangt vertrouwen?
Als iemand een foutje maakt in een belangrijke router setting (bijv VLAN tag verkeerd), hangt ineens je lannetje zomaar per ongeluk aan het WAN ofzo (of met wat omwegen toch bereikbaar, oops).

Laat staan als er via wat kwaaie software je router A presenteert maar onder water B uitvoert....

[Ds211]

je hebt helemaal gelijk hoor maar ik zelf doelde op fysieke standalone netwerken dus geen kabel die naar een router met internet leid
sterkernog de plc is de router waar max 2 workstations aanhangen waar alleen de kabel van de plc inzit.
 

[Hofstede]

Doet me denken aan een gevalletje van een poos geleden. Wij hadden industriële 4G modems ingezet voor remote monitoring. Deze waren volgens de leverancier zwaar beveiligd en hadden zelfs een speciale modbus firewall en packet scanning.

Een maand na ingebruikname ging opeens het dataverbruik plotseling gigantisch omhoog en bleken de modems geïnfecteerd met een botnet.  De leverancier had zijn applicatie wel op orde maar de Linux versie waar alles op draaide bleek zo lek als een mandje en diverse al jaren bekende kwetsbaarheden bleken niet gepatcht.