Агенцията за киберсигурност и инфраструктура на САЩ (CISA) предупреди организациите да проверяват наскоро разкритите уязвимости, засягащи устройства с операционна технология (OT), които трябва, но не винаги са изолирани от интернет.
CISA има пуснати пуснаха пет препоръки покриващи множество уязвимости, засягащи индустриални системи за контрол, открити от изследователи от Forescout.
Тази седмица Forescout публикува своя доклад „OT:ICEFALL“, който обхваща набор от общи проблеми със сигурността в софтуера за устройства с операционна технология (OT). Разкритите грешки засягат устройства на Honeywell, Motorola, Siemens и други.
OT е подгрупа на Интернет на нещата (IoT). OT обхваща индустриални системи за управление (ICS), които могат да бъдат свързани към интернет, докато по-широката IoT категория включва потребителски артикули като телевизори, звънци и рутери.
Forescout описва подробно 56 уязвимости в един доклад за да подчертае тези общи проблеми.
CISA публикува пет съответни съвета за индустриални системи за контрол (ICSA), които предоставят известие за докладваните уязвимости и идентифицират базови смекчаващи мерки за намаляване на рисковете за тези и други атаки срещу киберсигурността.
Препоръките включват подробности за критични пропуски, засягащи софтуера от японската JTEKT, три дефекта, засягащи устройства от американския доставчик Phoenix Contact, и един, засягащ продукти от немската фирма Siemens.
Препоръките ICSA-22-172-02 за JTEKT TOYOPUC липсват подробности за удостоверяване и ескалация на привилегии. Те имат степен на тежест 7-2 от 10.
Дефектите, засягащи устройствата на Phoenix, са описани подробно в препоръките ICSA-22-172-03 за Класически линейни контролери на Phoenix Contact; ICSA-22-172-04 за Phoenix Contact ProConOS и MULTIPROG; и ICSA-22-172-05: Phoenix Contact Classic Line индустриални контролери.
Софтуерът на Siemens с критични уязвимости е подробно описан в консултативния ICSA-22-172-06 за Siemens WinCC OA. Това е бъг, който може да се експлоатира дистанционно, с оценка на сериозност 9.8 от 10.
„Успешното използване на тази уязвимост може да позволи на атакуващ да се представя за други потребители или да използва протокола клиент-сървър, без да бъде удостоверен“, отбелязва CISA.
OT устройствата трябва да имат въздушна междина в мрежата, но често не са, което дава на сложните кибер нападатели по-широко поле за проникване.
56-те уязвимости, идентифицирани от Forescount, попадат в четири основни категории, включително несигурни инженерни протоколи, слаба криптография или повредени схеми за удостоверяване, несигурни актуализации на фърмуера и дистанционно изпълнение на код чрез собствена функционалност.
Фирмата публикува уязвимостите (CVE) като колекция, за да илюстрира, че недостатъците в доставката на хардуер за критична инфраструктура са често срещан проблем.
„С OT:ICEFALL искахме да разкрием и предоставим количествен преглед на уязвимостите на OT, несигурни по проект, вместо да разчитаме на периодичните изблици на CVE за един продукт или малък набор от публични инциденти от реалния свят, които често са отхвърлен като виновен конкретен продавач или собственик на актив,“ Forescout каза.
„Целта е да се илюстрира как непрозрачният и патентован характер на тези системи, неоптималното управление на уязвимостта около тях и често лъжливото усещане за сигурност, предлагано от сертификатите, значително усложняват усилията за управление на риска на OT“, се казва в него.
Като твърдо подробности в публикация в блог, има някои често срещани грешки, за които разработчиците трябва да знаят: