CISA varuje před softwarovými chybami v průmyslových řídicích systémech

Americká Agentura pro kybernetickou bezpečnost a infrastrukturu (CISA) varovala organizace, aby prověřily nedávno odhalené zranitelnosti ovlivňující zařízení operačních technologií (OT), která by měla, ale ne vždy být izolována od internetu. 

CISA má vydala vydala pět upozornění pokrývající četná zranitelnost ovlivňující průmyslové řídicí systémy objevené výzkumníky z Forescout. 

Forescout tento týden zveřejnil svou zprávu „OT:ICEFALL“, která pokrývá soubor běžných bezpečnostních problémů v softwaru pro zařízení operační technologie (OT). Chyby, které odhalili, se týkají zařízení od Honeywell, Motorola, Siemens a dalších. 

OT je podmnožinou internetu věcí (IoT). OT pokrývá průmyslové řídicí systémy (ICS), které mohou být připojeny k internetu, zatímco širší kategorie IoT zahrnuje spotřební zboží, jako jsou televizory, domovní zvonky a routery. 

Forescout podrobně popsal 56 zranitelností v jedné zprávě upozornit na tyto běžné problémy.

CISA vydala pět odpovídajících doporučení pro průmyslové kontrolní systémy (ICSA), která podle ní poskytují upozornění na hlášená zranitelnost a identifikují základní zmírnění pro snížení rizik pro tyto a další útoky kybernetické bezpečnosti.  

Upozornění zahrnují podrobnosti o kritických chybách ovlivňujících software japonské společnosti JTEKT, tři chyby ovlivňující zařízení od amerického dodavatele Phoenix Contact a jednu, která ovlivňuje produkty německé firmy Siemens.  

Doporučení ICSA-22-172-02 pro JTEKT TOYOPUC detaily chybějícího ověřování a eskalace oprávnění. Tyto mají hodnocení závažnosti 7-2 z 10.

Chyby ovlivňující zařízení Phoenix jsou podrobně popsány v upozorněních ICSA-22-172-03 Ovladače řady Phoenix Contact Classic; ICSA-22-172-04 pro Phoenix Contact ProConOS a MULTIPROG; a ICSA-22-172-05: Průmyslové ovladače Phoenix Contact Classic Line. 

Software Siemens s kritickými zranitelnostmi je podrobně popsán v informačním dokumentu ICSA-22-172-06 pro Siemens WinCC OA. Je to vzdáleně zneužitelná chyba se skóre závažnosti 9.8 z 10. 

„Úspěšné zneužití této chyby zabezpečení by mohlo umožnit útočníkovi vydávat se za jiné uživatele nebo zneužít protokol klient-server, aniž by byl ověřen,“ poznamenává CISA.

OT zařízení by měla mít v síti vzduchovou mezeru, ale často tomu tak není, což dává sofistikovaným kybernetickým útočníkům širší prostor k proniknutí.  

56 zranitelností identifikovaných Forescount spadalo do čtyř hlavních kategorií, včetně nezabezpečených inženýrských protokolů, slabé kryptografie nebo poškozených autentizačních schémat, nezabezpečených aktualizací firmwaru a vzdáleného spouštění kódu prostřednictvím nativních funkcí. 

Společnost zveřejnila zranitelnosti (CVE) jako sbírku, aby ilustrovala, že nedostatky v dodávce hardwaru kritické infrastruktury jsou běžným problémem.  

„S OT:ICEFALL jsme chtěli odhalit a poskytnout kvantitativní přehled zranitelností OT nezabezpečených podle návrhu, spíše než spoléhat na pravidelné návaly CVE pro jeden produkt nebo malou sadu veřejných incidentů v reálném světě, které jsou často oprášil, jako by na vině byl konkrétní prodejce nebo vlastník aktiv,“ Forescout řekl. 

„Cílem je ilustrovat, jak neprůhledná a proprietární povaha těchto systémů, neoptimální správa zranitelnosti, která je obklopuje, a často falešný pocit bezpečnosti nabízený certifikacemi významně komplikují úsilí o řízení rizik OT,“ uvedl.

 Jako pevný podrobnosti v příspěvku na blogu, existuje několik běžných chyb, kterých by si vývojáři měli být vědomi:

• Existuje mnoho zranitelností nezabezpečených podle návrhu: Více než třetina zjištěných zranitelností (38 %) umožňuje kompromitaci přihlašovacích údajů, přičemž manipulace s firmwarem je na druhém místě (21 %) a na třetím místě je vzdálené spouštění kódu (14 %). 
• Zranitelné produkty jsou často certifikovány: 74 % dotčených produktových rodin má nějakou formu bezpečnostní certifikace a většina problémů, na které upozorňuje, by měla být odhalena relativně rychle během hloubkového zjišťování zranitelnosti. Mezi faktory přispívající k tomuto problému patří omezený prostor pro hodnocení, neprůhledné definice zabezpečení a zaměření na funkční testování.
• Řízení rizik komplikuje nedostatek CVE: Nestačí vědět, že zařízení nebo protokol je nezabezpečený. Aby mohli činit informovaná rozhodnutí v oblasti řízení rizik, musí vlastníci aktiv vědět, jak jsou tyto komponenty nejisté. Problémy považované za důsledek konstrukční nejistoty nebyly vždy přiřazeny CVE, takže často zůstávají méně viditelné a použitelné, než by měly být.
• Existují nezabezpečené komponenty dodavatelského řetězce: Zranitelnost komponent OT dodavatelského řetězce obvykle nehlásí každý dotčený výrobce, což přispívá k potížím s řízením rizik.
• Ne všechny nezabezpečené návrhy jsou si rovny: Žádný z analyzovaných systémů nepodporuje podepisování logiky a většina (52 %) kompiluje svou logiku do nativního strojového kódu. 62 % těchto systémů přijímá stahování firmwaru přes Ethernet, zatímco pouze 51 % má pro tuto funkci ověření.
• Rozvoj útočných schopností je snazší, než se často zdá: Reverzní inženýrství jednoho proprietárního protokolu trvalo 1 den až 2 týdny, zatímco dosažení stejného u složitých, víceprotokolových systémů trvalo 5 až 6 měsíců.