حذرت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) المنظمات من التحقق من نقاط الضعف التي تم الكشف عنها مؤخرًا والتي تؤثر على أجهزة التكنولوجيا التشغيلية (OT) التي يجب ولكن لا تكون دائمًا معزولة عن الإنترنت.
CISA لديها صدر خمسة تحذيرات تغطي نقاط الضعف المتعددة التي تؤثر على أنظمة التحكم الصناعية التي اكتشفها الباحثون في Forescout.
أصدرت Forescout هذا الأسبوع تقريرها "OT: ICEFALL" ، والذي يغطي مجموعة من مشكلات الأمان الشائعة في برامج أجهزة التكنولوجيا التشغيلية (OT). الأخطاء التي تم الكشف عنها تؤثر على الأجهزة من شركة Honeywell و Motorola و Siemens وغيرها.
OT هي مجموعة فرعية من إنترنت الأشياء (IoT). تغطي OT أنظمة التحكم الصناعية (ICS) التي قد تكون متصلة بالإنترنت بينما تشمل فئة إنترنت الأشياء الأوسع عناصر استهلاكية مثل أجهزة التلفزيون وأجراس الأبواب وأجهزة التوجيه.
Forescout بالتفصيل 56 نقطة ضعف في تقرير واحد لتسليط الضوء على هذه المشاكل الشائعة.
أصدرت CISA خمسة مستشارين لأنظمة الضوابط الصناعية (ICSAs) التي قالت إنها توفر إشعارًا بنقاط الضعف المبلغ عنها وتحدد إجراءات التخفيف الأساسية لتقليل المخاطر التي تتعرض لها هذه وغيرها من هجمات الأمن السيبراني.
تشمل التحذيرات تفاصيل العيوب الخطيرة التي تؤثر على البرامج من JTEKT اليابانية ، وثلاثة عيوب تؤثر على الأجهزة من البائع الأمريكي Phoenix Contact ، وواحد يؤثر على منتجات من شركة Siemens الألمانية.
الدليل الاستشاري لـ ICSA-22-172-02 لـ JTEKT TOYOPUC تفاصيل تفتقد إلى عيوب تصعيد المصادقة والامتياز. هذه لها درجة خطورة 7-2 من 10.
تم تفصيل العيوب التي تؤثر على أجهزة Phoenix في الإرشادات ICSA-22-172-03 الخاصة بـ أجهزة تحكم الخط الكلاسيكي من Phoenix Contact؛ ICSA-22-172-04 من أجل Phoenix Contact ProConOS و MULTIPROG؛ و ICSA-22-172-05: أجهزة التحكم الصناعية Classic Line من Phoenix Contact.
تم تفصيل برنامج Siemens مع نقاط الضعف الحرجة في الاستشارات ICSA-22-172-06 لـ سيمنز WinCC OA. إنه خطأ يمكن استغلاله عن بُعد بدرجة خطورة تبلغ 9.8 من 10.
تشير CISA إلى أن "الاستغلال الناجح لهذه الثغرة الأمنية قد يسمح للمهاجم بانتحال شخصية مستخدمين آخرين أو استغلال بروتوكول خادم العميل دون مصادقة".
يجب أن تكون أجهزة التكنولوجيا التشغيلية (OT) مزودة بفجوة في الهواء على الشبكة ولكنها في الغالب لا تكون كذلك ، مما يمنح المهاجمين السيبرانيين المحترفين نطاقًا أوسع لاختراقها.
تندرج نقاط الضعف الـ 56 التي حددتها Forescount في أربع فئات رئيسية ، بما في ذلك البروتوكولات الهندسية غير الآمنة ، والتشفير الضعيف أو أنظمة المصادقة المعطلة ، وتحديثات البرامج الثابتة غير الآمنة ، وتنفيذ التعليمات البرمجية عن بُعد عبر الوظائف الأصلية.
نشرت الشركة نقاط الضعف (CVEs) كمجموعة لتوضيح أن العيوب في توريد أجهزة البنية التحتية الحيوية هي مشكلة شائعة.
"مع OT: ICEFALL ، أردنا الكشف عن وتقديم نظرة عامة كمية عن الثغرات الأمنية غير الآمنة حسب التصميم في OT بدلاً من الاعتماد على الاندفاعات الدورية من CVEs لمنتج واحد أو مجموعة صغيرة من الحوادث العامة الواقعية التي غالبًا ما تكون تم التنحي عن خطأ مورّد معين أو مالك أصول "، قال Forescout.
"الهدف هو توضيح كيف أن الطبيعة الغامضة والممتلكات لهذه الأنظمة ، وإدارة الثغرات دون المستوى الأمثل المحيطة بها ، والشعور الزائف في كثير من الأحيان بالأمن الذي توفره الشهادات يعقد بشكل كبير جهود إدارة مخاطر OT".
كشركة التفاصيل في مدونة، هناك بعض الأخطاء الشائعة التي يجب على المطورين إدراكها: