Shadowserver escanea todo el espacio de IPv4 diariamente para mapear e informar sobre la superficie de ataque expuesta de ICS/OT en Internet. Realiza esto ejecutando pruebas para muchos protocolos ICS/OT «nativos» que se detallan a continuación.
Este informe contiene una lista de dispositivos que están respondiendo a los diversos escaneos ICS/OT especializados, junto con información adicional sobre la marca y el modelo y las respuestas sin procesar recibidas.
A partir del 2022-05-20 se buscan los siguientes 18 protocolos:
- BACnet (puerto 47808/udp)
- CODESYS (puerto 1200/tcp, puerto 2455/tcp)
- Carmesí V3 (puerto 789/tcp)
- DNP3 (puerto 20000/tcp)
- EtherCAT (puerto 34980/udp)
- EtherNet/IP (puerto 44818/tcp)
- GE-SRTP (puerto 18245/tcp)
- HART (puerto 5094/tcp)
- ICCP (puerto 102/tcp)
- IEC 60870-5-104 (puerto 2404/tcp)
- MELSEC-Q (puerto 5007/tcp)
- Modbus (puerto 502/tcp)
- ALETAS OMRON (puerto 9600/udp)
- Binario OPC UA (puerto 4840/tcp)
- PC Worx (puerto 1962/tcp)
- ProConOS (puerto 20547/tcp)
- Siemens S7 (puerto 102/tcp)
- Tridium Niagara Fox (puerto 1911/tcp)
Si bien no verifican vulnerabilidades específicas, es muy poco probable que estos tipos de dispositivos deban ser accesibles de alguna forma para consultas desde Internet, por lo que, a menos que esté ejecutando un honeypot si recibe un informe de este tipo para su red/circunscripción, se le recomienda encarecidamente que actúe de inmediato y acceda al firewall/filtro.
Lea más sobre cómo los atacantes pueden aprovechar la infraestructura ICS/OT expuesta para su beneficio y qué puede hacer usted para mitigar en el aviso conjunto de alerta de seguridad cibernética de la CISA, el FBI, la NSA y el Departamento de Energía “ Alerta ( AA22-103A ): A PT Cyber Tools Targeting Dispositivos ICS/SCADA “.
Puede obtener más información sobre el informe en el tutorial Informe de ICS accesible .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público, que también explica ejemplos de casos de uso.
Este reporte no indica indicios de compromiso o ataques desde las IPs en cuestión, sino sólo representa la presencia de un equipo o servicio potencialmente vulnerable y/o expuesto.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet .
Nombres de archivo: scan_ics
CAMPOS
| timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
| ip | IP del dispositivo detectado |
| protocol | Protocolo de la respuesta |
| port | Se recibió respuesta del puerto de |
| hostname | Nombre de host del dispositivo (puede ser de DNS inverso) |
| tag | Etiqueta, configurada para un protocolo ICS específico, como Modbus o S7 |
| asn | AS del dispositivo detectado |
| geo | País del dispositivo detectado |
| region | Región del dispositivo detectado |
| city | Ciudad del dispositivo detectado |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sic | Código del sistema de clasificación industrial estándar |
| sector | Sector de la PI en cuestión |
| device_vendor | Nombre del proveedor del dispositivo |
| device_type | tipo de dispositivo |
| device_model | Nombre del modelo del dispositivo |
| device_version | Versión del dispositivo |
| device_id | identificación del dispositivo |
| response_length | Longitud de la respuesta sin procesar decodificada en base64 |
| raw_response | Respuesta sin procesar codificada en Base64 |
EJEMPLO
timestamp,ip,protocol,port,hostname,tag,asn,geo,region,city,naics,sic,sector,device_vendor,device_type,device_model,device_version,device_id,response_length,raw_response
"2010-02-10 00:00:00",192.168.0.1,tcp,502,node01.example.com,modbus,64512,ZZ,Region,City,0,0,"Communications, Service Provider, and Hosting Service","AB Regin",,,,0,18,DgGC/wEBAAhBQiBSZWdpbg==
"2010-02-10 00:00:01",192.168.0.2,tcp,502,node02.example.com,modbus,64512,ZZ,Region,City,0,0,"Communications, Service Provider, and Hosting Service","Schneider Electric SAS",,"140 NOE 771 01",V4.70,0,55,DgGBAAADABZTY2huZWlkZXIgRWxlY3RyaWMgU0FTAQ4xNDAgTk9FIDc3MSAwMQIFVjQuNzA=
"2010-02-10 00:00:02",192.168.0.3,tcp,502,node03.example.com,modbus,64512,ZZ,Region,City,0,0,,Siemens,,SIMATIC,S7-200,0,34,DgGDAAADAAdTaWVtZW5zAQdTSU1BVElDAgZTNy0yMDA=
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/accessible-ics-report/