剣 KENSAI
← All posts · security · 2026-02-07 · 5 min

Infrastrutture Critiche Sotto Attacco: Emergenza ICS/SCADA

6 min di lettura
URGENZA CRITICA

Sintesi Esecutiva

CISA emette una direttiva d'emergenza per vulnerabilità critiche nei PLC Siemens e Schneider Electric che minacciano la rete elettrica e gli impianti di produzione. Impianti di trattamento acque in tre stati degli USA segnalano attività di rete sospette. L'FBI avverte di una campagna cyber coordinata contro il settore energetico in vista delle tempeste invernali.

⚡ In sintesi: se gestisce sistemi ICS/SCADA, isoli i dispositivi interessati entro 48 ore secondo la Direttiva d'Emergenza CISA 26-01.

🔴
Critico

CVE-2026-24891 — Esecuzione Codice Remoto Siemens SIMATIC S7-1500

Perché è Importante

Una vulnerabilità critica nei PLC Siemens SIMATIC S7-1500 consente l'esecuzione di codice remoto non autenticata via rete. Questi PLC controllano processi critici nella generazione di energia, produzione industriale, trattamento acque e impianti chimici. CISA ha emesso la Direttiva d'Emergenza 26-01 che richiede alle agenzie federali di isolare i sistemi interessati entro 48 ore.

Impatto Descrizione
Interruzione Processi Arresto dei processi industriali
Sistemi di Sicurezza Potenziale bypass dei blocchi di sicurezza
Danni Fisici Danni agli impianti da comandi malevoli
Guasti a Cascata Infrastrutture interdipendenti coinvolte

Azioni da Intraprendere

  • Isolare immediatamente i PLC interessati dalle reti IT
  • Applicare l'aggiornamento di sicurezza Siemens SSA-434535
  • Implementare la segmentazione di rete tra IT/OT
  • Abilitare il logging su tutto il traffico di rete OT
  • Distribuire IDS industriale (Claroty, Dragos, Nozomi)
Critico

CVE-2026-24903 — Bypass Autenticazione Schneider Electric Modicon M340

Perché è Importante

Un bypass di autenticazione nei PLC Schneider Electric Modicon M340 consente agli attaccanti di modificare la logica ladder e i parametri di processo senza credenziali. Questi dispositivi sono ampiamente distribuiti nei sistemi di generazione e distribuzione dell'energia.

⚙️

Modifiche Non Autorizzate

Gli attaccanti possono modificare i processi industriali senza autenticazione

👁️

Capacità di Occultamento

Le modifiche malevole possono essere nascoste agli operatori

⚠️

Manipolazione Sicurezza

Potenziale manipolazione dei sistemi di sicurezza

🔓

Accesso Persistente

Accesso persistente a lungo termine agli ambienti OT

Azioni da Intraprendere

  • Limitare l'accesso di rete ai dispositivi Modicon M340
  • Applicare la patch Schneider SEVD-2026-038-01
  • Implementare application whitelisting sulle workstation di engineering
  • Abilitare il rilevamento modifiche sui programmi PLC
  • Rivedere le procedure di backup/ripristino per le configurazioni PLC
💧
Intrusione Attiva

Rilevate Intrusioni in Impianti di Trattamento Acque

Perché è Importante

FBI e CISA confermano attività di rete sospette presso impianti di trattamento acque in Texas, Florida e Pennsylvania. Gli attaccanti hanno ottenuto accesso tramite PLC Unitronics esposti (simile all'incidente in Pennsylvania del 2023) e hanno tentato di modificare i parametri di dosaggio chimico.

Allerta Critica: Questo rispecchia l'attacco all'impianto idrico di Aliquippa del 2023. Gli impianti che utilizzano PLC Unitronics devono presumere di essere presi di mira.

Azioni da Intraprendere

  • Verificare immediatamente l'esposizione internet di tutti i sistemi HMI/PLC
  • Modificare le credenziali predefinite su Unitronics e tutti i dispositivi OT
  • Implementare l'autenticazione multi-fattore per l'accesso remoto
  • Abilitare gli avvisi per le modifiche ai parametri di processo
  • Coordinarsi con WaterISAC per threat intelligence
🎯
Attribuzione

Campagna Settore Energetico: "VOLTZITE"

Perché è Importante

Le aziende di threat intelligence attribuiscono le recenti intrusioni nel settore energetico a VOLTZITE, un presunto attore state-sponsored con capacità simili a SANDWORM. I TTP includono tecniche living-off-the-land e persistenza a lungo termine nelle reti OT.

Azioni da Intraprendere

  • Cercare IOC di VOLTZITE negli ambienti IT e OT
  • Rivedere l'utilizzo di PowerShell e WMI nei sistemi adiacenti all'OT
  • Implementare il monitoraggio del flusso di rete ai confini IT/OT
  • Abilitare il controllo dei dispositivi USB negli ambienti OT
  • Condurre esercizi tabletop per incident response OT
📡
Divulgazione

Divulgazione Vulnerabilità AMI Smart Grid

Perché è Importante

I ricercatori hanno divulgato vulnerabilità nei sistemi Advanced Metering Infrastructure (AMI) di più fornitori che potrebbero consentire agli attaccanti di disconnettere l'energia ai singoli clienti o falsificare i dati di consumo.

Azioni da Intraprendere

  • Rivedere la segmentazione di rete dei sistemi AMI
  • Aggiornare i sistemi head-end AMI alle versioni più recenti
  • Abilitare la crittografia per le comunicazioni dei misuratori
  • Monitorare pattern anomali di comandi ai misuratori

Checklist Sicurezza ICS/SCADA

Immediato (24-48 Ore)
  • CRITICO: Isolare i PLC Siemens S7-1500 dalle reti IT
  • CRITICO: Applicare le patch Schneider Modicon M340
  • CRITICO: Verificare l'esposizione internet di tutti i dispositivi OT
  • Modificare le password predefinite su tutti i sistemi PLC/HMI
Questa Settimana
  • Implementare la segmentazione di rete IT/OT
  • Distribuire rilevamento intrusioni specifico per OT
  • Rivedere l'accesso remoto agli ambienti OT
  • Condurre inventario asset OT
  • Abilitare il logging del traffico di rete OT
  • Coordinarsi con gli ISAC di settore (E-ISAC, WaterISAC)
  • Aggiornare i piani di incident response per scenari OT
  • Formare gli operatori a riconoscere comportamenti HMI sospetti