CISA upozorava na greške u softveru u industrijskim kontrolnim sistemima

Američka agencija za kibernetičku sigurnost i infrastrukturu (CISA) upozorila je organizacije da provjere nedavno otkrivene ranjivosti koje utiču na uređaje operativne tehnologije (OT) koji bi trebali, ali nisu uvijek izolovani od interneta. 

CISA ima izdao pet savjeta pokriva višestruke ranjivosti koje utiču na industrijske sisteme kontrole koje su otkrili istraživači u Forescoutu. 

Forescout je ove sedmice objavio svoj izvještaj “OT:ICEFALL”, koji pokriva skup uobičajenih sigurnosnih problema u softveru za uređaje operativne tehnologije (OT). Greške koje su otkrili utiču na uređaje Honeywell, Motorola, Siemens i drugih. 

OT je podskup Interneta stvari (IoT). OT pokriva industrijske kontrolne sisteme (ICS) koji mogu biti povezani na internet, dok šira IoT kategorija uključuje potrošačke artikle kao što su televizori, zvona na vratima i ruteri. 

Forescout je detaljno opisao 56 ranjivosti u jednom izvještaju da istakne ove uobičajene probleme.

CISA je objavila pet odgovarajućih savjeta o industrijskim kontrolnim sistemima (ICSA) za koje je rekla da pružaju obavještenje o prijavljenim ranjivostima i identifikuju osnovne mjere ublažavanja za smanjenje rizika od ovih i drugih napada na sajber sigurnost.  

Upozorenja uključuju detalje o kritičnim greškama koje utiču na softver japanskog JTEKT-a, tri greške koje utiču na uređaje američkog proizvođača Phoenix Contact i jednu koja utiče na proizvode njemačke firme Siemens.  

ICSA-22-172-02 upozorenje za JTEKT TOYOPUC detaljima nedostaju propuste u autentifikaciji i eskalaciji privilegija. Oni imaju ocjenu ozbiljnosti 7-2 od 10.

Nedostaci koji utiču na Phoenix uređaje detaljno su opisani u uputstvima ICSA-22-172-03 za Phoenix Contact klasični linijski kontroleri; ICSA-22-172-04 for Phoenix Contact ProConOS i MULTIPROG; i ICSA-22-172-05 : Phoenix Contact Classic Line industrijski kontroleri. 

Siemens softver sa kritičnim ranjivostima detaljno je opisan u savetodavnom dokumentu ICSA-22-172-06 za Siemens WinCC OA. To je greška za daljinsko iskorištavanje s ocjenom ozbiljnosti 9.8 od 10. 

„Uspješno iskorištavanje ove ranjivosti moglo bi omogućiti napadaču da se lažno predstavlja kao drugi korisnici ili da iskoristi klijent-server protokol bez provjere autentičnosti“, napominje CISA.

OT uređaji bi trebali biti zatvoreni na mreži, ali često nisu, dajući sofisticiranim sajber napadačima širi prostor za prodor.  

56 ranjivosti koje je identifikovao Forescount spada u četiri glavne kategorije, uključujući nesigurne inženjerske protokole, slabu kriptografiju ili pokvarene šeme autentifikacije, nesigurna ažuriranja firmvera i daljinsko izvršavanje koda putem izvorne funkcionalnosti. 

Firma je objavila ranjivosti (CVE) kao kolekciju kako bi ilustrovala da su nedostaci u nabavci kritičnog infrastrukturnog hardvera čest problem.  

“Sa OT:ICEFALL, željeli smo otkriti i pružiti kvantitativni pregled OT nesigurnih po dizajnu ranjivosti umjesto da se oslanjamo na periodične rafale CVE-a za jedan proizvod ili mali skup javnih incidenata u stvarnom svijetu koji su često odbačen kao određeni prodavac ili vlasnik imovine koji je kriv,” Forescout je rekao. 

„Cilj je da se ilustruje kako neprozirna i zaštićena priroda ovih sistema, neoptimalno upravljanje ranjivostima koje ih okružuje i često lažan osećaj sigurnosti koji nude sertifikati značajno komplikuju napore upravljanja rizikom OT“, navodi se.

 Kao firma detalji u blogpostu, postoje neke uobičajene greške kojih bi programeri trebali biti svjesni:

• Nesigurne po dizajnu ranjivosti obiluju: Više od trećine ranjivosti koje je pronašao (38%) dozvoljava kompromitovanje vjerodajnica, pri čemu je manipulacija firmverom na drugom mjestu (21%), a daljinsko izvršavanje koda je na trećem (14%). 
• Ranjivi proizvodi su često certificirani: 74% pogođenih porodica proizvoda ima neki oblik sigurnosne potvrde i većinu problema na koje upozorava treba otkriti relativno brzo tokom dubinskog otkrivanja ranjivosti. Faktori koji doprinose ovom problemu uključuju ograničen obim za evaluaciju, neprozirne sigurnosne definicije i fokus na funkcionalno testiranje.
• Upravljanje rizikom je komplikovano nedostatkom CVE-a: Nije dovoljno znati da je uređaj ili protokol nesiguran. Kako bi donosili informirane odluke o upravljanju rizicima, vlasnici sredstava moraju znati koliko su ove komponente nesigurne. Problemima koji se smatraju rezultatom nesigurnosti po dizajnu nisu uvijek dodijeljeni CVE, tako da često ostaju manje vidljivi i djelotvorni nego što bi trebali biti.
• Postoje komponente lanca snabdevanja koje su nesigurne po dizajnu: Ranjivosti u komponentama lanca nabavke OT obično ne prijavljuju svaki pogođeni proizvođač, što doprinosi poteškoćama u upravljanju rizikom.
• Nisu svi nesigurni dizajni jednaki: Nijedan od analiziranih sistema ne podržava logičko potpisivanje i većina (52%) kompilira svoju logiku u izvorni mašinski kod. 62% tih sistema prihvata preuzimanje firmvera preko Etherneta, dok samo 51% ima autentifikaciju za ovu funkcionalnost.
• Ofanzivne sposobnosti je izvodljivije za razvoj nego što se često zamišlja: Reverzni inženjering jednog zaštićenog protokola trajao je između 1 dana i 2 sedmice, dok je postizanje istog za složene, višeprotokolne sisteme trajalo 5 do 6 mjeseci.