Američka agencija za kibernetičku sigurnost i infrastrukturu (CISA) upozorila je organizacije da provjere nedavno otkrivene ranjivosti koje utiču na uređaje operativne tehnologije (OT) koji bi trebali, ali nisu uvijek izolovani od interneta.
CISA ima izdao pet savjeta pokriva višestruke ranjivosti koje utiču na industrijske sisteme kontrole koje su otkrili istraživači u Forescoutu.
Forescout je ove sedmice objavio svoj izvještaj “OT:ICEFALL”, koji pokriva skup uobičajenih sigurnosnih problema u softveru za uređaje operativne tehnologije (OT). Greške koje su otkrili utiču na uređaje Honeywell, Motorola, Siemens i drugih.
OT je podskup Interneta stvari (IoT). OT pokriva industrijske kontrolne sisteme (ICS) koji mogu biti povezani na internet, dok šira IoT kategorija uključuje potrošačke artikle kao što su televizori, zvona na vratima i ruteri.
Forescout je detaljno opisao 56 ranjivosti u jednom izvještaju da istakne ove uobičajene probleme.
CISA je objavila pet odgovarajućih savjeta o industrijskim kontrolnim sistemima (ICSA) za koje je rekla da pružaju obavještenje o prijavljenim ranjivostima i identifikuju osnovne mjere ublažavanja za smanjenje rizika od ovih i drugih napada na sajber sigurnost.
Upozorenja uključuju detalje o kritičnim greškama koje utiču na softver japanskog JTEKT-a, tri greške koje utiču na uređaje američkog proizvođača Phoenix Contact i jednu koja utiče na proizvode njemačke firme Siemens.
ICSA-22-172-02 upozorenje za JTEKT TOYOPUC detaljima nedostaju propuste u autentifikaciji i eskalaciji privilegija. Oni imaju ocjenu ozbiljnosti 7-2 od 10.
Nedostaci koji utiču na Phoenix uređaje detaljno su opisani u uputstvima ICSA-22-172-03 za Phoenix Contact klasični linijski kontroleri; ICSA-22-172-04 for Phoenix Contact ProConOS i MULTIPROG; i ICSA-22-172-05 : Phoenix Contact Classic Line industrijski kontroleri.
Siemens softver sa kritičnim ranjivostima detaljno je opisan u savetodavnom dokumentu ICSA-22-172-06 za Siemens WinCC OA. To je greška za daljinsko iskorištavanje s ocjenom ozbiljnosti 9.8 od 10.
„Uspješno iskorištavanje ove ranjivosti moglo bi omogućiti napadaču da se lažno predstavlja kao drugi korisnici ili da iskoristi klijent-server protokol bez provjere autentičnosti“, napominje CISA.
OT uređaji bi trebali biti zatvoreni na mreži, ali često nisu, dajući sofisticiranim sajber napadačima širi prostor za prodor.
56 ranjivosti koje je identifikovao Forescount spada u četiri glavne kategorije, uključujući nesigurne inženjerske protokole, slabu kriptografiju ili pokvarene šeme autentifikacije, nesigurna ažuriranja firmvera i daljinsko izvršavanje koda putem izvorne funkcionalnosti.
Firma je objavila ranjivosti (CVE) kao kolekciju kako bi ilustrovala da su nedostaci u nabavci kritičnog infrastrukturnog hardvera čest problem.
“Sa OT:ICEFALL, željeli smo otkriti i pružiti kvantitativni pregled OT nesigurnih po dizajnu ranjivosti umjesto da se oslanjamo na periodične rafale CVE-a za jedan proizvod ili mali skup javnih incidenata u stvarnom svijetu koji su često odbačen kao određeni prodavac ili vlasnik imovine koji je kriv,” Forescout je rekao.
„Cilj je da se ilustruje kako neprozirna i zaštićena priroda ovih sistema, neoptimalno upravljanje ranjivostima koje ih okružuje i često lažan osećaj sigurnosti koji nude sertifikati značajno komplikuju napore upravljanja rizikom OT“, navodi se.
Kao firma detalji u blogpostu, postoje neke uobičajene greške kojih bi programeri trebali biti svjesni: