Агенцтва кібербяспекі і інфраструктуры ЗША (CISA) папярэдзіла арганізацыі правяраць нядаўна выяўленыя ўразлівасці, якія ўплываюць на прылады аперацыйнай тэхналогіі (OT), якія павінны, але не заўсёды ізаляваны ад Інтэрнэту.
CISA мае апублікавана выпушчана пяць рэкамендацый якія ахопліваюць шматлікія ўразлівасці, якія ўплываюць на прамысловыя сістэмы кіравання, выяўленыя даследчыкамі з Forescout.
Forescout на гэтым тыдні выпусціла сваю справаздачу «OT:ICEFALL», якая ахоплівае шэраг агульных праблем бяспекі ў праграмным забеспячэнні для прылад аперацыйнай тэхналогіі (OT). Памылкі, якія яны выявілі, закранаюць прылады Honeywell, Motorola, Siemens і іншых.
OT - гэта падмноства Інтэрнэту рэчаў (IoT). OT ахоплівае прамысловыя сістэмы кіравання (ICS), якія могуць падключацца да Інтэрнэту, у той час як больш шырокая катэгорыя IoT уключае спажывецкія тавары, такія як тэлевізары, дзвярныя званкі і маршрутызатары.
Forescout падрабязна 56 уразлівасцяў у адным дакладзе каб вылучыць гэтыя агульныя праблемы.
CISA выпусціла пяць адпаведных рэкамендацый па сістэмах прамысловага кіравання (ICSA), у якіх паведамляецца аб заяўленых уразлівасцях і вызначаюцца асноўныя меры па зніжэнні рызык для гэтых і іншых нападаў на кібербяспеку.
Рэкамендацыі ўключаюць падрабязную інфармацыю аб крытычных недахопах праграмнага забеспячэння японскай кампаніі JTEKT, трох недахопах прылад амерыканскага пастаўшчыка Phoenix Contact і адным прадуктах нямецкай кампаніі Siemens.
Рэкамендацыя ICSA-22-172-02 для JTEKT TOYOPUC падрабязныя звесткі пра недахопы аўтэнтыфікацыі і павышэння прывілеяў. Яны маюць рэйтынг сур'ёзнасці 7-2 з 10.
Дэфекты прылад Phoenix падрабязна апісаны ў рэкамендацыях ICSA-22-172-03 для Класічныя лінейныя кантролеры Phoenix Contact; ICSA-22-172-04 для Phoenix Contact ProConOS і MULTIPROG; і ICSA-22-172-05: Прамысловыя кантролеры Phoenix Contact Classic Line.
Праграмнае забеспячэнне Siemens з крытычнымі ўразлівасцямі падрабязна апісана ў рэкамендацыі ICSA-22-172-06 для Siemens WinCC OA. Гэта памылка, якую можна дыстанцыйна выкарыстоўваць, яе сур'ёзнасць складае 9.8 з 10.
«Паспяховая эксплуатацыя гэтай уразлівасці можа дазволіць зламысніку выдаваць сябе за іншых карыстальнікаў або выкарыстоўваць пратакол кліент-сервер без праходжання аўтэнтыфікацыі», - адзначае CISA.
Прылады OT павінны мець паветраны зазор у сетцы, але часта гэта не так, што дае вопытным кібер-зламыснікам шырэйшае поле для пранікнення.
56 уразлівасцяў, выяўленых Forescount, падзяліліся на чатыры асноўныя катэгорыі, уключаючы небяспечныя інжынерныя пратаколы, слабую крыптаграфію або зламаныя схемы аўтэнтыфікацыі, небяспечныя абнаўленні прашыўкі і выдаленае выкананне кода праз уласную функцыянальнасць.
Фірма апублікавала ўразлівасці (CVE) у выглядзе калекцыі, каб праілюстраваць, што недахопы ў пастаўках абсталявання крытычнай інфраструктуры з'яўляюцца агульнай праблемай.
«З дапамогай OT:ICEFALL мы хацелі раскрыць і даць колькасны агляд уразлівасцяў OT, неабароненых пры распрацоўцы, а не спадзявацца на перыядычныя ўсплёскі CVE для аднаго прадукту або невялікага набору публічных інцыдэнтаў у рэальным свеце, якія часта адмахнуўся ад таго, што вінаваты канкрэтны пастаўшчык або ўладальнік актываў», — сказаў Форэскаўт.
«Мэта складаецца ў тым, каб праілюстраваць, як непразрысты і запатэнтаваны характар гэтых сістэм, неаптымальнае кіраванне ўразлівасцямі вакол іх і часта ілжывае адчуванне бяспекі, якое прапануе сертыфікацыя, значна ўскладняюць намаганні па кіраванні рызыкамі OT», - гаворыцца ў паведамленні.
Як фірма падрабязнасці ў блогу, ёсць некаторыя агульныя памылкі, пра якія распрацоўшчыкі павінны ведаць: