CISA папярэджвае аб недахопах праграмнага забеспячэння ў прамысловых сістэмах кіравання

Агенцтва кібербяспекі і інфраструктуры ЗША (CISA) папярэдзіла арганізацыі правяраць нядаўна выяўленыя ўразлівасці, якія ўплываюць на прылады аперацыйнай тэхналогіі (OT), якія павінны, але не заўсёды ізаляваны ад Інтэрнэту. 

CISA мае апублікавана выпушчана пяць рэкамендацый якія ахопліваюць шматлікія ўразлівасці, якія ўплываюць на прамысловыя сістэмы кіравання, выяўленыя даследчыкамі з Forescout. 

Forescout на гэтым тыдні выпусціла сваю справаздачу «OT:ICEFALL», якая ахоплівае шэраг агульных праблем бяспекі ў праграмным забеспячэнні для прылад аперацыйнай тэхналогіі (OT). Памылкі, якія яны выявілі, закранаюць прылады Honeywell, Motorola, Siemens і іншых. 

OT - гэта падмноства Інтэрнэту рэчаў (IoT). OT ахоплівае прамысловыя сістэмы кіравання (ICS), якія могуць падключацца да Інтэрнэту, у той час як больш шырокая катэгорыя IoT уключае спажывецкія тавары, такія як тэлевізары, дзвярныя званкі і маршрутызатары. 

Forescout падрабязна 56 уразлівасцяў у адным дакладзе каб вылучыць гэтыя агульныя праблемы.

CISA выпусціла пяць адпаведных рэкамендацый па сістэмах прамысловага кіравання (ICSA), у якіх паведамляецца аб заяўленых уразлівасцях і вызначаюцца асноўныя меры па зніжэнні рызык для гэтых і іншых нападаў на кібербяспеку.  

Рэкамендацыі ўключаюць падрабязную інфармацыю аб крытычных недахопах праграмнага забеспячэння японскай кампаніі JTEKT, трох недахопах прылад амерыканскага пастаўшчыка Phoenix Contact і адным прадуктах нямецкай кампаніі Siemens.  

Рэкамендацыя ICSA-22-172-02 для JTEKT TOYOPUC падрабязныя звесткі пра недахопы аўтэнтыфікацыі і павышэння прывілеяў. Яны маюць рэйтынг сур'ёзнасці 7-2 з 10.

Дэфекты прылад Phoenix падрабязна апісаны ў рэкамендацыях ICSA-22-172-03 для Класічныя лінейныя кантролеры Phoenix Contact; ICSA-22-172-04 для Phoenix Contact ProConOS і MULTIPROG; і ICSA-22-172-05: Прамысловыя кантролеры Phoenix Contact Classic Line. 

Праграмнае забеспячэнне Siemens з крытычнымі ўразлівасцямі падрабязна апісана ў рэкамендацыі ICSA-22-172-06 для Siemens WinCC OA. Гэта памылка, якую можна дыстанцыйна выкарыстоўваць, яе сур'ёзнасць складае 9.8 з 10. 

«Паспяховая эксплуатацыя гэтай уразлівасці можа дазволіць зламысніку выдаваць сябе за іншых карыстальнікаў або выкарыстоўваць пратакол кліент-сервер без праходжання аўтэнтыфікацыі», - адзначае CISA.

Прылады OT павінны мець паветраны зазор у сетцы, але часта гэта не так, што дае вопытным кібер-зламыснікам шырэйшае поле для пранікнення.  

56 уразлівасцяў, выяўленых Forescount, падзяліліся на чатыры асноўныя катэгорыі, уключаючы небяспечныя інжынерныя пратаколы, слабую крыптаграфію або зламаныя схемы аўтэнтыфікацыі, небяспечныя абнаўленні прашыўкі і выдаленае выкананне кода праз уласную функцыянальнасць. 

Фірма апублікавала ўразлівасці (CVE) у выглядзе калекцыі, каб праілюстраваць, што недахопы ў пастаўках абсталявання крытычнай інфраструктуры з'яўляюцца агульнай праблемай.  

«З дапамогай OT:ICEFALL мы хацелі раскрыць і даць колькасны агляд уразлівасцяў OT, неабароненых пры распрацоўцы, а не спадзявацца на перыядычныя ўсплёскі CVE для аднаго прадукту або невялікага набору публічных інцыдэнтаў у рэальным свеце, якія часта адмахнуўся ад таго, што вінаваты канкрэтны пастаўшчык або ўладальнік актываў», — сказаў Форэскаўт. 

«Мэта складаецца ў тым, каб праілюстраваць, як непразрысты і запатэнтаваны характар ​​гэтых сістэм, неаптымальнае кіраванне ўразлівасцямі вакол іх і часта ілжывае адчуванне бяспекі, якое прапануе сертыфікацыя, значна ўскладняюць намаганні па кіраванні рызыкамі OT», - гаворыцца ў паведамленні.

 Як фірма падрабязнасці ў блогу, ёсць некаторыя агульныя памылкі, пра якія распрацоўшчыкі павінны ведаць:

• Шмат небяспечных уразлівасцяў: Больш за траціну знойдзеных уразлівасцяў (38%) дазваляюць скампраметаваць уліковыя дадзеныя, прычым маніпуляцыі з прашыўкай займаюць другое месца (21%), а выдаленае выкананне кода - трэцяе (14%). 
• Уразлівыя прадукты часта сертыфікуюцца: 74% закранутых сямействаў прадуктаў маюць тую ці іншую форму сертыфікацыі бяспекі, і большасць праблем, пра якія яна папярэджвае, павінны быць выяўлены адносна хутка падчас паглыбленага выяўлення ўразлівасцяў. Фактары, якія спрыяюць гэтай праблеме, ўключаюць абмежаваныя магчымасці для ацэнак, непразрыстыя азначэнні бяспекі і засяроджанасць на функцыянальным тэсціраванні.
• Кіраванне рызыкамі ўскладняецца адсутнасцю CVE: Недастаткова ведаць, што прылада або пратакол небяспечныя. Каб прымаць абгрунтаваныя рашэнні па кіраванні рызыкамі, уладальнікі актываў павінны ведаць, наколькі гэтыя кампаненты небяспечныя. Праблемы, якія лічацца вынікам адсутнасці бяспекі па задуме, не заўсёды атрымалі CVE, таму яны часта застаюцца менш прыкметнымі і прымяняльнымі, чым яны павінны быць.
• Існуюць небяспечныя кампаненты ланцужкі паставак: Пра ўразлівасці ў кампанентах ланцужкі паставак OT, як правіла, не паведамляюць усе пацярпелыя вытворцы, што ўскладняе кіраванне рызыкамі.
• Не ўсе небяспечныя канструкцыі аднолькавыя: Ні адна з прааналізаваных сістэм не падтрымлівае лагічнае падпісанне, і большасць (52%) кампілююць сваю логіку ў уласны машынны код. 62% з гэтых сістэм прымаюць загрузку прашыўкі праз Ethernet, у той час як толькі 51% маюць аўтэнтыфікацыю для гэтай функцыі.
• Наступальныя магчымасці развіць больш рэальна, чым часта думаюць: Зваротная распрацоўка аднаго прапрыетарнага пратаколу заняла ад 1 дня да 2 тыдняў, у той час як дасягненне таго ж для складаных шматпратакольных сістэм заняло ад 5 да 6 месяцаў.