Tu sei qui:

OT/ICS cybersecurity industriale

L'implementazione del protocollo Modbus contiene diverse vulnerabilità che potrebbero consentire a un utente malintenzionato di eseguire attività di hacking

Modbus è un protocollo di comunicazione ampiamente utilizzato nell’ambito dell’automazione industriale e dei sistemi di controllo. Creato nel 1979, è diventato uno standard de facto nell’industria per la comunicazione tra dispositivi in un ambiente industriale.

Ci sono diverse varianti di Modbus, ma le due più comuni sono:

  1. Modbus RTU (Remote Terminal Unit): Utilizza la trasmissione di dati in modalità seriale, spesso su connessioni RS-232 o RS-485. I dati sono inviati in pacchetti binari compatti e rappresentano valori numerici in formati diversi, come valori analogici o digitali.

  2. Modbus TCP/IP: Si basa su Ethernet e utilizza il protocollo TCP/IP per la comunicazione tramite reti IP. In questo caso, i dati sono trasportati in pacchetti di protocollo TCP/IP, consentendo la comunicazione su reti locali o su Internet.

Caratteristiche principali di Modbus:

  • Semplicità: È noto per la sua semplicità di implementazione e utilizzo, il che lo rende ampiamente adottato nell’automazione industriale.

  • Tipi di messaggi: I messaggi Modbus possono essere di lettura (richiedono dati da un dispositivo), scrittura (inviano dati a un dispositivo) o richiesta diagnostica (usati per richiedere informazioni diagnostica o di stato).

  • Master-Slave: Modbus opera in un modello master-slave, dove un dispositivo Master inizia le richieste di dati e uno o più dispositivi Slave rispondono a queste richieste.

  • Comunicazione sequenziale: Modbus utilizza un approccio sequenziale nella comunicazione. Ciò significa che il dispositivo master interroga o scrive ogni dispositivo slave individualmente, uno alla volta.

Il protocollo Modbus è ampiamente utilizzato in sistemi di controllo industriale (ICS) e nell’ambito dell’Operational Technology (OT) per la comunicazione tra dispositivi. Tuttavia, come qualsiasi protocollo di comunicazione, è suscettibile di essere sfruttato da hacking informatici. Alcune preoccupazioni relative alla sicurezza riguardano:

Man-in-the-Middle (MITM): Gli attaccanti potrebbero intercettare il traffico Modbus tra dispositivi e iniettare, modificare o intercettare i dati, compromettendo la comunicazione.

Hacking di denial-of-service (DoS): Gli attaccanti potrebbero sovraccaricare i dispositivi Modbus inviando un grande volume di richieste o dati, causando l’interruzione o la compromissione del funzionamento normale dei sistemi.

Password deboli o non esistenti: Molti dispositivi Modbus possono essere vulnerabili a causa di password deboli o predefinite non cambiate, consentendo l’accesso non autorizzato agli apparecchi di controllo.

Scansione e identificazione dei dispositivi: Gli hacker possono eseguire scansioni di rete per individuare dispositivi Modbus e cercare di penetrare nei sistemi di controllo industriale attraverso vulnerabilità conosciute.

Case study: attacco remoto

Modbus cybersecurity