CISA предупреждава за софтуерни недостатъци в индустриалните системи за управление

Агенцията за киберсигурност и инфраструктура на САЩ (CISA) предупреди организациите да проверяват наскоро разкритите уязвимости, засягащи устройства с операционна технология (OT), които трябва, но не винаги са изолирани от интернет. 

CISA има пуснати пуснаха пет препоръки покриващи множество уязвимости, засягащи индустриални системи за контрол, открити от изследователи от Forescout. 

Тази седмица Forescout публикува своя доклад „OT:ICEFALL“, който обхваща набор от общи проблеми със сигурността в софтуера за устройства с операционна технология (OT). Разкритите грешки засягат устройства на Honeywell, Motorola, Siemens и други. 

OT е подгрупа на Интернет на нещата (IoT). OT обхваща индустриални системи за управление (ICS), които могат да бъдат свързани към интернет, докато по-широката IoT категория включва потребителски артикули като телевизори, звънци и рутери. 

Forescout описва подробно 56 уязвимости в един доклад за да подчертае тези общи проблеми.

CISA публикува пет съответни съвета за индустриални системи за контрол (ICSA), които предоставят известие за докладваните уязвимости и идентифицират базови смекчаващи мерки за намаляване на рисковете за тези и други атаки срещу киберсигурността.  

Препоръките включват подробности за критични пропуски, засягащи софтуера от японската JTEKT, три дефекта, засягащи устройства от американския доставчик Phoenix Contact, и един, засягащ продукти от немската фирма Siemens.  

Препоръките ICSA-22-172-02 за JTEKT TOYOPUC липсват подробности за удостоверяване и ескалация на привилегии. Те имат степен на тежест 7-2 от 10.

Дефектите, засягащи устройствата на Phoenix, са описани подробно в препоръките ICSA-22-172-03 за Класически линейни контролери на Phoenix Contact; ICSA-22-172-04 за Phoenix Contact ProConOS и MULTIPROG; и ICSA-22-172-05: Phoenix Contact Classic Line индустриални контролери. 

Софтуерът на Siemens с критични уязвимости е подробно описан в консултативния ICSA-22-172-06 за Siemens WinCC OA. Това е бъг, който може да се експлоатира дистанционно, с оценка на сериозност 9.8 от 10. 

„Успешното използване на тази уязвимост може да позволи на атакуващ да се представя за други потребители или да използва протокола клиент-сървър, без да бъде удостоверен“, отбелязва CISA.

OT устройствата трябва да имат въздушна междина в мрежата, но често не са, което дава на сложните кибер нападатели по-широко поле за проникване.  

56-те уязвимости, идентифицирани от Forescount, попадат в четири основни категории, включително несигурни инженерни протоколи, слаба криптография или повредени схеми за удостоверяване, несигурни актуализации на фърмуера и дистанционно изпълнение на код чрез собствена функционалност. 

Фирмата публикува уязвимостите (CVE) като колекция, за да илюстрира, че недостатъците в доставката на хардуер за критична инфраструктура са често срещан проблем.  

„С OT:ICEFALL искахме да разкрием и предоставим количествен преглед на уязвимостите на OT, несигурни по проект, вместо да разчитаме на периодичните изблици на CVE за един продукт или малък набор от публични инциденти от реалния свят, които често са отхвърлен като виновен конкретен продавач или собственик на актив,“ Forescout каза. 

„Целта е да се илюстрира как непрозрачният и патентован характер на тези системи, неоптималното управление на уязвимостта около тях и често лъжливото усещане за сигурност, предлагано от сертификатите, значително усложняват усилията за управление на риска на OT“, се казва в него.

 Като твърдо подробности в публикация в блог, има някои често срещани грешки, за които разработчиците трябва да знаят:

• Изобилстват несигурни по проект уязвимости: Повече от една трета от откритите уязвимости (38%) позволяват компрометиране на идентификационни данни, като манипулирането на фърмуера е на второ място (21%), а дистанционното изпълнение на код е на трето място (14%). 
• Уязвимите продукти често са сертифицирани: 74% от засегнатите фамилии продукти имат някаква форма на сертификат за сигурност и повечето проблеми, за които предупреждава, трябва да бъдат открити относително бързо по време на задълбочено откриване на уязвимости. Факторите, допринасящи за този проблем, включват ограничен обхват за оценки, непрозрачни дефиниции за сигурност и фокус върху функционално тестване.
• Управлението на риска се усложнява от липсата на CVE: Не е достатъчно да знаете, че дадено устройство или протокол са несигурни. За да вземат информирани решения за управление на риска, собствениците на активи трябва да знаят как тези компоненти са несигурни. Проблеми, считани за резултат от несигурност по проект, не винаги са били присвоявани CVE, така че често остават по-малко видими и податливи на действие, отколкото би трябвало да бъдат.
• Има несигурни по проект компоненти на веригата за доставки: Уязвимостите в компонентите на веригата за доставки на OT обикновено не се докладват от всеки засегнат производител, което допринася за трудностите при управлението на риска.
• Не всички несигурни проекти са създадени еднакви: Нито една от анализираните системи не поддържа логическо подписване и повечето (52%) компилират своята логика към собствен машинен код. 62% от тези системи приемат изтегляне на фърмуер през Ethernet, докато само 51% имат удостоверяване за тази функционалност.
• Офанзивните способности са по-възможни за развитие, отколкото често се предполага: Обратното инженерство на единичен патентован протокол отне между 1 ден и 2 седмици, докато постигането на същото за сложни многопротоколни системи отне 5 до 6 месеца.