Como Pedro por su Smart-Building

Vulnerando Entornos CrticosSmart-Cities, Smart-Buildings y Grandes CorporacionesEduardo Arriols Nuez

1

Las ciudades crecen cada vez mas y a travs del IoT y el avance de las tecnologas se busca optimizar todo.Un ejemplo, las Smart-Cities y dentro de ellas los Smart-Buildings que permiten un control centralizado del edificio2

Pero Que peligros conllevan estos edificios para la ciudad, el propio edificio y o la organizacin?3

Se os puede venir a la cabeza hacer el troll y jugar un tetris, que si, se podra pero sin duda hay cosas mucho mas preocupantes4

Sin Complicaciones

La idea de la presentacin es demostrar que de forma tremendamente sencilla y sin apenas conocimientos tcnicos se podra hacer mucho dao.Se hace uso de vulnerabilidades realmente simples y clasicas.5

Demos Acotadas

La idea de la presentacin es demostrar que de forma tremendamente sencilla y sin apenas conocimientos tcnicos se podra hacer mucho dao.Se hace uso de vulnerabilidades realmente simples y clasicas.6

Eduardo Arriols NuezRed Team Manager en EntelgyProfesor universitario de grado y post-gradoInvestigador de seguridad y ponente en congresos de seguridadOSCP, OSWP, CSX, CEH, CHFI, ECSA,

eduardo_arriols@innotecsystem.com @_Hykeos

Whoami12

7

1. Smart-Cities2. Smart-Buildings3. Explotacin4. Post-Explotacin5. Conclusiones

Agenda de temas que sern tratados8

Smart-Cities

Vamos a exponer de forma breve que es eso de las Smart-Cities9

Evolucin e Interconexin

Nacen por la necesidad de gestionar mejor las ciudades y potenciadas por el avance del IoT10

Ciudades Inteligentes?

Qu es realmente una Smart-City? Una aglomeracin de otros sistemas que dotan a la ciudad de una capacidad para hacerle la vida mas fcil a los ciudadanos y las organizaciones.11

Estructura General

Subdivisin comn de elementos dentro de una Smart-City12

Smart-Buildings

Vamos a ver ahora lo que son los Smart-Buildings o edificios inteligentes13

Vector de Ataque

La presentacin se centra en este tipo de sistemas, que podran servir como vector de entrada a la Smart-City en caso de tener esta un nivel suficiente de madurez.

Aun no tenindolo podran afectar mucho a la ciudad.14

Building Management System - BMS

Esquema Tpico de Red

Creacin de un Smart-Building

Fabricantes Implantadores

Explotacin

Sistemas Objetivo

Versiones 1 y 2

19

Sistemas Objetivo

Sistemas Objetivo

Tridium Niagara Fcil identificar los nuevos (Protocolo Niagara Fox)Totales: ~50kVersin 1 y 2: ~22kVulnerables: ~8k

21

Vector de Ataque

Identificacin de usuarios por defecto que segn la versin de manual aparecan o no en el documento (backdoor)guest / *****test / ****demo / ****admin / ***** (Directamente administrador)

En versiones mas modernas existen otros usuarios ampliamente utilizados por defecto default / *******tridium / *******

Vector de Ataque

1

Vector de AtaqueSe utiliza el acceso como el usuario identificado que nicamente tiene permisos de lectura. Esto impide la posibilidad de realizar acciones sobre el edifico.

2

Se analiza el sistema y se identifica la ruta del archivo de configuracin (Existen varios). El usuario tiene acceso de lectura a los archivos de configuracin donde se encuentran los usuarios y su contrasea cifrada.

Vector de Ataque

3

Las claves tambin se puede obtener en otros sitios como el backup.No utiliza un cifrado estndar, sino uno propio.25

Se identifica el directorio donde se encuentran todas las libreras (no publicas) que utiliza el sistema. Entre las libreras, existe una que contiene funciones para cifrar y descifrar.

Vector de Ataque

4Obtencin de libreras no publicas

Vector de Ataque

Creacin de un simple script que haga uso de la librera para descifrar las claves cifradas.

5

Acceso como usuario administrador al sistema BMS Tridium Niagara y control completo del edificio.

Vector de AtaqueIMPORTANTE Versiones afectadas 1 y 2 (3 y 4 NO! Por ahora)

6

Una vez se tiene acceso al software podemos realizar otras muchas acciones sobre el sistema, algunas son:Acceso backupsAcceso direccionamiento internos y JACE conectadosAcceso a libreras, herramientas, licencias, Acceso a archivos de configuracin

Vector de Ataque

7

Posibilidad de acceder a los planos del edificio (intrusin fsica)29

Uso de herramientas como Shodan y ZoomEye para localizar dispositivos.

Localizando Sistemas Vulnerables

Es posible localizar mas de 5k de las versiones 1 y 2Es posible localizar mas de 40k de las versiones 3 y 4Todo con simples bsquedas. Realmente existen mas sistemas conectadosExisten ciudades donde se encuentran desplegados una gran cantidad de sistemas Ideas?30

Tipos de Entidades AfectadasEmpresas Privadas

Tipos de Entidades AfectadasEntidades Bancarias

Tipos de Entidades AfectadasHospitales

Tipos de Entidades AfectadasUniversidades y Colegios

Tipos de Entidades AfectadasCentros Comerciales y Concesionarios

Tipos de Entidades AfectadasAeropuertos

Tipos de Entidades AfectadasCentrales Elctricas

Tipos de Entidades AfectadasCrceles

Tipos de Entidades AfectadasDepartamentos de Polica

Tipos de Entidades AfectadasEdificios Pblicos / Gubernamentales

DEMO

Post-Explotacin

Vamos a ver ahora otras acciones que podramos realizar adems de tener control sobre la domtica del edificio en cuestin42

Alteracin de las Seales

Posibilidad de falsificar cualquier tipo de sealQu pasa si cortas la electricidad de un quirfano o una UVI y en el panel evitas que se muestre el cambio?43

Automatizaciones de AccionesObtencin de informacin (Tipo de sistema, mdulos desplegados, usuarios y credenciales, organizacin, etc)

Autenticacin realizada mediante cookie en Base64 (user@pass)Realizacin de acciones sobre el edificio en cuestinAlteracin de las seales de determinados mdulos Posibilidad de congelar el edificio en un estadoAutomatizar acciones simultaneas sobre equipos en un mismo rea geogrfica

Trivial desarrollar pequeos scripts que interacten con los edificiosComentar que adems la autenticacin la realiza con el usuario y pass en Base64 como cookie44

Acceso a la Red Industrial*Parte de los sistemas conectados tienen adems habilitado el servicio RDP, nateado contra la maquina que aloja el sistema BMS.En la mayora de casos probados, alguno de los usuarios existentes en el software BMS es capaz de autenticarse por RDP.

En Espaa se han deshabilitado la mayora durante los ltimos meses (Se les aviso hace 2 aos)Hace una ao aproximadamente haba muchos.Puede tener algo que ver la guardia civil45

Comprometiendo la Organizacin*Cuando el edificio pertenece enteramente a una organizacin puede encontrarse conectado a la red interna de dicha organizacin con el objetivo de que sea gente interna quien tenga control de el.

nicamente se ha basado en el ejercicio intrusin que fue realizado hace un par de aos46

Origen de la Vulnerabilidad

Exponer la intrusin realizada47

Mas Sistemas Accesibles?

V1 y v2AX y v4

Hemos visto como seria posible vulnerar las versiones 1 y 2, pero Tambin es posible acceder a los sistemas 3 y 4 mediante la reutilizacin de credenciales del implantador en muchos casos.

Para ello es necesario un anlisis de los usuarios y contraseas por rea geogrfica. Esto ha sido probado en 3 ciudades donde existan bastantes sistemas y en los sistemas 3 y 4 el porcentaje de accesos mediante algn usuario reutilizado es alto48

Conclusiones

49

Conclusiones

Vulnerar un edificio podra suponer vulnerar una Smart-City o por lo menos causar cierto dao en la ciudad50

Conclusiones

Nuevos ataquesNuevas amenazas

Ampliacin de nuevo vectores de ataque y con ello nuevas amenazasQue pasa si se coordina un ataque contra ciudades donde hay cientos de estos sistemas?Qu pasa si se corta la electricidad de una zona de un hospital y se falsean los datos para que todo parezca normal, eliminando adems las modificaciones realizada?51

Conclusiones

Como todo, bueno siempre y cuando se verifique la seguridad antes de exponerse

Politicas, procedimientos y poder auditar a los 352

Lneas Futuras de InvestigacinPrincipalmente las lneas en las que se esta trabajando son:

Publicacin de scripts para la interaccin y ataque sobre los Smart-Building (Una vez finalizados).

Realizar el anlisis de las libreras y buscar funcionalidades como subida de ficheros Evitar la necesidad de tener que utilizar RDP para el acceso a la red interna (Ejemplo: Subir ReGeorg).

Investigar nuevas versiones de Tridium Niagara (AX y v4).

Realizar anlisis por rea geogrfica de edificios vulnerables.

Se aceptan ideas nuevas y por supuesto colaboracin en el temaAlguien tiene un edificio que prestarme?53

Preguntas?

Eduardo Arriols Nuez

eduardo_arriols@innotecsystem.com @_Hykeos