استكشف
استكشف

تحذر CISA من عيوب البرامج في أنظمة التحكم الصناعية

حذرت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) المنظمات من التحقق من نقاط الضعف التي تم الكشف عنها مؤخرًا والتي تؤثر على أجهزة التكنولوجيا التشغيلية (OT) التي يجب ولكن لا تكون دائمًا معزولة عن الإنترنت. 

CISA لديها صدر خمسة تحذيرات تغطي نقاط الضعف المتعددة التي تؤثر على أنظمة التحكم الصناعية التي اكتشفها الباحثون في Forescout. 

أصدرت Forescout هذا الأسبوع تقريرها "OT: ICEFALL" ، والذي يغطي مجموعة من مشكلات الأمان الشائعة في برامج أجهزة التكنولوجيا التشغيلية (OT). الأخطاء التي تم الكشف عنها تؤثر على الأجهزة من شركة Honeywell و Motorola و Siemens وغيرها. 

OT هي مجموعة فرعية من إنترنت الأشياء (IoT). تغطي OT أنظمة التحكم الصناعية (ICS) التي قد تكون متصلة بالإنترنت بينما تشمل فئة إنترنت الأشياء الأوسع عناصر استهلاكية مثل أجهزة التلفزيون وأجراس الأبواب وأجهزة التوجيه. 

Forescout بالتفصيل 56 نقطة ضعف في تقرير واحد لتسليط الضوء على هذه المشاكل الشائعة.

أصدرت CISA خمسة مستشارين لأنظمة الضوابط الصناعية (ICSAs) التي قالت إنها توفر إشعارًا بنقاط الضعف المبلغ عنها وتحدد إجراءات التخفيف الأساسية لتقليل المخاطر التي تتعرض لها هذه وغيرها من هجمات الأمن السيبراني.  

شعبية الآن
مراجعة Beelink GK Mini | PCMag

تشمل التحذيرات تفاصيل العيوب الخطيرة التي تؤثر على البرامج من JTEKT اليابانية ، وثلاثة عيوب تؤثر على الأجهزة من البائع الأمريكي Phoenix Contact ، وواحد يؤثر على منتجات من شركة Siemens الألمانية.  

الدليل الاستشاري لـ ICSA-22-172-02 لـ JTEKT TOYOPUC تفاصيل تفتقد إلى عيوب تصعيد المصادقة والامتياز. هذه لها درجة خطورة 7-2 من 10.

تم تفصيل العيوب التي تؤثر على أجهزة Phoenix في الإرشادات ICSA-22-172-03 الخاصة بـ أجهزة تحكم الخط الكلاسيكي من Phoenix Contact؛ ICSA-22-172-04 من أجل Phoenix Contact ProConOS و MULTIPROG؛ و ICSA-22-172-05: أجهزة التحكم الصناعية Classic Line من Phoenix Contact

تم تفصيل برنامج Siemens مع نقاط الضعف الحرجة في الاستشارات ICSA-22-172-06 لـ سيمنز WinCC OA. إنه خطأ يمكن استغلاله عن بُعد بدرجة خطورة تبلغ 9.8 من 10. 

تشير CISA إلى أن "الاستغلال الناجح لهذه الثغرة الأمنية قد يسمح للمهاجم بانتحال شخصية مستخدمين آخرين أو استغلال بروتوكول خادم العميل دون مصادقة".

يجب أن تكون أجهزة التكنولوجيا التشغيلية (OT) مزودة بفجوة في الهواء على الشبكة ولكنها في الغالب لا تكون كذلك ، مما يمنح المهاجمين السيبرانيين المحترفين نطاقًا أوسع لاختراقها.  

تندرج نقاط الضعف الـ 56 التي حددتها Forescount في أربع فئات رئيسية ، بما في ذلك البروتوكولات الهندسية غير الآمنة ، والتشفير الضعيف أو أنظمة المصادقة المعطلة ، وتحديثات البرامج الثابتة غير الآمنة ، وتنفيذ التعليمات البرمجية عن بُعد عبر الوظائف الأصلية. 

نشرت الشركة نقاط الضعف (CVEs) كمجموعة لتوضيح أن العيوب في توريد أجهزة البنية التحتية الحيوية هي مشكلة شائعة.  

"مع OT: ICEFALL ، أردنا الكشف عن وتقديم نظرة عامة كمية عن الثغرات الأمنية غير الآمنة حسب التصميم في OT بدلاً من الاعتماد على الاندفاعات الدورية من CVEs لمنتج واحد أو مجموعة صغيرة من الحوادث العامة الواقعية التي غالبًا ما تكون تم التنحي عن خطأ مورّد معين أو مالك أصول "، قال Forescout

شعبية الآن
أفضل عروض سطح المكتب لشهر ديسمبر 2021

"الهدف هو توضيح كيف أن الطبيعة الغامضة والممتلكات لهذه الأنظمة ، وإدارة الثغرات دون المستوى الأمثل المحيطة بها ، والشعور الزائف في كثير من الأحيان بالأمن الذي توفره الشهادات يعقد بشكل كبير جهود إدارة مخاطر OT".

 كشركة التفاصيل في مدونة، هناك بعض الأخطاء الشائعة التي يجب على المطورين إدراكها:

  • تكثر الثغرات الأمنية غير الآمنة حسب التصميم: أكثر من ثلث الثغرات الأمنية التي وجدتها (38٪) تسمح بتسوية بيانات الاعتماد ، وتأتي معالجة البرامج الثابتة في المرتبة الثانية (21٪) وتنفيذ التعليمات البرمجية عن بُعد في المرتبة الثالثة (14٪). 
  • غالبًا ما يتم اعتماد المنتجات المعرضة للخطر: 74٪ من عائلات المنتجات المتأثرة لديها شكل من أشكال الشهادات الأمنية ويجب اكتشاف معظم المشكلات التي تحذر منها بسرعة نسبيًا أثناء اكتشاف الثغرات الأمنية بشكل متعمق. تشمل العوامل المساهمة في هذه المشكلة نطاقًا محدودًا للتقييمات وتعريفات أمان غير شفافة والتركيز على الاختبار الوظيفي.
  • إدارة المخاطر معقدة بسبب الافتقار إلى مكافحة التطرف العنيف: لا يكفي معرفة أن الجهاز أو البروتوكول غير آمن. لاتخاذ قرارات مستنيرة بشأن إدارة المخاطر ، يحتاج مالكو الأصول إلى معرفة كيف أن هذه المكونات غير آمنة. القضايا التي تم اعتبارها نتيجة لانعدام الأمن حسب التصميم لم يتم دائمًا تخصيصها لمواجهة التطرف العنيف ، لذلك غالبًا ما تظل أقل وضوحًا وقابلية للتنفيذ مما ينبغي أن تكون عليه.
  • هناك مكونات سلسلة إمداد غير آمنة حسب التصميم: تميل نقاط الضعف في مكونات سلسلة التوريد OT إلى عدم الإبلاغ عنها من قبل كل مصنع متأثر ، مما يساهم في صعوبات إدارة المخاطر.
  • لا يتم إنشاء جميع التصميمات غير الآمنة على قدم المساواة: لا يدعم أي من الأنظمة التي تم تحليلها التوقيع المنطقي ومعظم (52٪) يجمع منطقهم إلى كود الآلة الأصلي. يقبل 62٪ من هذه الأنظمة تنزيلات البرامج الثابتة عبر Ethernet ، بينما يمتلك 51٪ فقط مصادقة لهذه الوظيفة.
  • القدرات الهجومية أكثر جدوى من التطوير مما يتصور في كثير من الأحيان: استغرقت الهندسة العكسية لبروتوكول ملكية واحد ما بين يوم واحد وأسبوعين ، بينما استغرق تحقيق نفس الشيء للأنظمة المعقدة متعددة البروتوكولات من 1 إلى 2 أشهر. 

مصدر

شعبية الآن
استعراض Marklife P11 | PCMag

Keep Calm and Stay Smart

18:21

يختبر فريقنا بشكل احترافي مئات البرامج والخدمات واستراتيجيات العمل كل عام من خلال مستشارينا ولوحة من قادة الأعمال.

نحن نختار الحلول بدقة فقط مع أعلى نسبة تكلفة إلى فوائد سهلة الاستخدام ، والذين يندمجون بشكل لائق في أي نوع من المؤسسات والذين يشتملون على ميزات رائدة لضمان بقائك في صدارة قطاع عملك.

en English
ar Arabicbe Belarusianbn Bengalibs Bosnianbg Bulgarianzh-CN Chinese (Simplified)hr Croatiancs Czechda Danishnl Dutchen Englishet Estoniantl Filipinofi Finnishfr Frenchka Georgiande Germanel Greekgu Gujaratiha Hausaiw Hebrewhi Hindihmn Hmonghu Hungarianig Igboid Indonesianit Italianja Japanesejw Javanesekk Kazakhko Koreanku Kurdish (Kurmanji)ky Kyrgyzlo Laolv Latvianlt Lithuanianmk Macedonianmg Malagasyno Norwegianfa Persianpl Polishpt Portuguesepa Punjabiro Romanianru Russiansr Serbiansk Slovaksl Slovenianes Spanishsv Swedishth Thaitr Turkishuk Ukrainianvi Vietnameseyo Yoruba

يجب أن يكون لديك برنامج في عام 2024

أعلى الفئات

آخر مراجعات