Infrastrutture Critiche Sotto Attacco: Emergenza ICS/SCADA
Sintesi Esecutiva
CISA emette una direttiva d'emergenza per vulnerabilità critiche nei PLC Siemens e Schneider Electric che minacciano la rete elettrica e gli impianti di produzione. Impianti di trattamento acque in tre stati degli USA segnalano attività di rete sospette. L'FBI avverte di una campagna cyber coordinata contro il settore energetico in vista delle tempeste invernali.
⚡ In sintesi: se gestisce sistemi ICS/SCADA, isoli i dispositivi interessati entro 48 ore secondo la Direttiva d'Emergenza CISA 26-01.
CVE-2026-24891 — Esecuzione Codice Remoto Siemens SIMATIC S7-1500
Perché è Importante
Una vulnerabilità critica nei PLC Siemens SIMATIC S7-1500 consente l'esecuzione di codice remoto non autenticata via rete. Questi PLC controllano processi critici nella generazione di energia, produzione industriale, trattamento acque e impianti chimici. CISA ha emesso la Direttiva d'Emergenza 26-01 che richiede alle agenzie federali di isolare i sistemi interessati entro 48 ore.
| Impatto | Descrizione |
|---|---|
| Interruzione Processi | Arresto dei processi industriali |
| Sistemi di Sicurezza | Potenziale bypass dei blocchi di sicurezza |
| Danni Fisici | Danni agli impianti da comandi malevoli |
| Guasti a Cascata | Infrastrutture interdipendenti coinvolte |
Azioni da Intraprendere
- Isolare immediatamente i PLC interessati dalle reti IT
- Applicare l'aggiornamento di sicurezza Siemens SSA-434535
- Implementare la segmentazione di rete tra IT/OT
- Abilitare il logging su tutto il traffico di rete OT
- Distribuire IDS industriale (Claroty, Dragos, Nozomi)
CVE-2026-24903 — Bypass Autenticazione Schneider Electric Modicon M340
Perché è Importante
Un bypass di autenticazione nei PLC Schneider Electric Modicon M340 consente agli attaccanti di modificare la logica ladder e i parametri di processo senza credenziali. Questi dispositivi sono ampiamente distribuiti nei sistemi di generazione e distribuzione dell'energia.
Modifiche Non Autorizzate
Gli attaccanti possono modificare i processi industriali senza autenticazione
Capacità di Occultamento
Le modifiche malevole possono essere nascoste agli operatori
Manipolazione Sicurezza
Potenziale manipolazione dei sistemi di sicurezza
Accesso Persistente
Accesso persistente a lungo termine agli ambienti OT
Azioni da Intraprendere
- Limitare l'accesso di rete ai dispositivi Modicon M340
- Applicare la patch Schneider SEVD-2026-038-01
- Implementare application whitelisting sulle workstation di engineering
- Abilitare il rilevamento modifiche sui programmi PLC
- Rivedere le procedure di backup/ripristino per le configurazioni PLC
Rilevate Intrusioni in Impianti di Trattamento Acque
Perché è Importante
FBI e CISA confermano attività di rete sospette presso impianti di trattamento acque in Texas, Florida e Pennsylvania. Gli attaccanti hanno ottenuto accesso tramite PLC Unitronics esposti (simile all'incidente in Pennsylvania del 2023) e hanno tentato di modificare i parametri di dosaggio chimico.
Azioni da Intraprendere
- Verificare immediatamente l'esposizione internet di tutti i sistemi HMI/PLC
- Modificare le credenziali predefinite su Unitronics e tutti i dispositivi OT
- Implementare l'autenticazione multi-fattore per l'accesso remoto
- Abilitare gli avvisi per le modifiche ai parametri di processo
- Coordinarsi con WaterISAC per threat intelligence
Campagna Settore Energetico: "VOLTZITE"
Perché è Importante
Le aziende di threat intelligence attribuiscono le recenti intrusioni nel settore energetico a VOLTZITE, un presunto attore state-sponsored con capacità simili a SANDWORM. I TTP includono tecniche living-off-the-land e persistenza a lungo termine nelle reti OT.
Azioni da Intraprendere
- Cercare IOC di VOLTZITE negli ambienti IT e OT
- Rivedere l'utilizzo di PowerShell e WMI nei sistemi adiacenti all'OT
- Implementare il monitoraggio del flusso di rete ai confini IT/OT
- Abilitare il controllo dei dispositivi USB negli ambienti OT
- Condurre esercizi tabletop per incident response OT
Divulgazione Vulnerabilità AMI Smart Grid
Perché è Importante
I ricercatori hanno divulgato vulnerabilità nei sistemi Advanced Metering Infrastructure (AMI) di più fornitori che potrebbero consentire agli attaccanti di disconnettere l'energia ai singoli clienti o falsificare i dati di consumo.
Azioni da Intraprendere
- Rivedere la segmentazione di rete dei sistemi AMI
- Aggiornare i sistemi head-end AMI alle versioni più recenti
- Abilitare la crittografia per le comunicazioni dei misuratori
- Monitorare pattern anomali di comandi ai misuratori
Checklist Sicurezza ICS/SCADA
- CRITICO: Isolare i PLC Siemens S7-1500 dalle reti IT
- CRITICO: Applicare le patch Schneider Modicon M340
- CRITICO: Verificare l'esposizione internet di tutti i dispositivi OT
- Modificare le password predefinite su tutti i sistemi PLC/HMI
- Implementare la segmentazione di rete IT/OT
- Distribuire rilevamento intrusioni specifico per OT
- Rivedere l'accesso remoto agli ambienti OT
- Condurre inventario asset OT
- Abilitare il logging del traffico di rete OT
- Coordinarsi con gli ISAC di settore (E-ISAC, WaterISAC)
- Aggiornare i piani di incident response per scenari OT
- Formare gli operatori a riconoscere comportamenti HMI sospetti