CISA advarer om softwarefejl i industrielle kontrolsystemer

Det amerikanske Cybersecurity and Infrastructure Agency (CISA) har advaret organisationer om at tjekke nyligt afslørede sårbarheder, der påvirker enheder med operationel teknologi (OT), der burde, men ikke altid er isoleret fra internettet. 

CISA har udgivet udgivet fem råd dækker flere sårbarheder, der påvirker industrielle kontrolsystemer, opdaget af forskere ved Forescout. 

Forescout udgav i denne uge sin rapport "OT:ICEFALL", som dækker et sæt almindelige sikkerhedsproblemer i software til operationel teknologi (OT) enheder. De fejl, de afslørede, påvirker enheder fra Honeywell, Motorola, Siemens og andre. 

OT er en undergruppe af tingenes internet (IoT). OT dækker industrielle kontrolsystemer (ICS), der kan være forbundet til internettet, mens den bredere IoT-kategori omfatter forbrugerartikler som tv'er, dørklokker og routere. 

Forescout detaljerede 56 sårbarheder i en enkelt rapport at fremhæve disse almindelige problemer.

CISA har udgivet fem tilsvarende Industrial Controls Systems Advisories (ICSA'er), som den sagde giver besked om de rapporterede sårbarheder og identificerer baseline-reduktioner for at reducere risici for disse og andre cybersikkerhedsangreb.  

Rådgivningen omfatter detaljer om kritiske fejl, der påvirker software fra japanske JTEKT, tre fejl, der påvirker enheder fra den amerikanske leverandør Phoenix Contact, og en, der påvirker produkter fra det tyske firma Siemens.  

ICSA-22-172-02 rådgivende for JTEKT TOYOPUC detaljer, der mangler godkendelse og privilegieeskaleringsfejl. Disse har en sværhedsgrad på 7-2 ud af 10.

Fejl, der påvirker Phoenix-enheder, er beskrevet i vejledningerne ICSA-22-172-03 for Phoenix Contact Classic Line Controllere; ICSA-22-172-04 for Phoenix Contact ProConOS og MULTIPROG; og ICSA-22-172-05: Phoenix Contact Classic Line industricontrollere. 

Siemens-softwaren med kritiske sårbarheder er beskrevet i vejledningen ICSA-22-172-06 for Siemens WinCC OA. Det er en fjernudnyttelig fejl med en alvorlighedsscore på 9.8 ud af 10. 

"Vellykket udnyttelse af denne sårbarhed kan give en hacker mulighed for at efterligne andre brugere eller udnytte klient-server-protokollen uden at blive godkendt," bemærker CISA.

OT-enheder bør være luftgappede på et netværk, men det er de ofte ikke, hvilket giver sofistikerede cyberangribere et bredere felt at trænge igennem.  

De 56 sårbarheder identificeret af Forescount faldt i fire hovedkategorier, herunder usikre tekniske protokoller, svag kryptografi eller ødelagte autentificeringsskemaer, usikre firmwareopdateringer og fjernudførelse af kode via indbygget funktionalitet. 

Firmaet udgav sårbarhederne (CVE'er) som en samling for at illustrere, at fejl i leveringen af ​​kritisk infrastrukturhardware er et almindeligt problem.  

"Med OT:ICEFALL ønskede vi at afsløre og give et kvantitativt overblik over OT insecure-by-design sårbarheder i stedet for at stole på de periodiske udbrud af CVE'er for et enkelt produkt eller et lille sæt offentlige hændelser i den virkelige verden, der ofte er afvist som en bestemt sælger eller aktivejer, der har skylden." Forescout sagde. 

"Målet er at illustrere, hvordan den uigennemsigtige og proprietære karakter af disse systemer, den suboptimale sårbarhedsstyring omkring dem og den ofte falske følelse af sikkerhed, som certificeringer tilbyder, markant komplicerer OT-risikostyringsindsatsen," hedder det.

 Som fast detaljer i et blogindlæg, er der nogle almindelige fejl, som udviklere bør være opmærksomme på:

• Usikre-by-design sårbarheder er der mange af: Mere end en tredjedel af de sårbarheder, den fandt (38%) tillader kompromittering af legitimationsoplysninger, hvor firmwaremanipulation kommer på andenpladsen (21%) og fjernudførelse af kode på tredjepladsen (14%). 
• Sårbare produkter er ofte certificerede: 74 % af de berørte produktfamilier har en form for sikkerhedscertificering, og de fleste problemer, den advarer om, bør opdages relativt hurtigt under dybdegående sårbarhedsopdagelse. Faktorer, der bidrager til dette problem, omfatter begrænset mulighed for evalueringer, uigennemsigtige sikkerhedsdefinitioner og fokus på funktionel test.
• Risikostyring kompliceres af manglen på CVE'er: Det er ikke nok at vide, at en enhed eller protokol er usikker. For at træffe informerede risikostyringsbeslutninger skal aktivejere vide, hvordan disse komponenter er usikre. Problemer, der anses for at være resultatet af usikkerhed ved design, er ikke altid blevet tildelt CVE'er, så de forbliver ofte mindre synlige og handlingsdygtige, end de burde være.
• Der er usikre forsyningskædekomponenter: Sårbarheder i OT-forsyningskædekomponenter plejer ikke at blive rapporteret af alle berørte producenter, hvilket bidrager til vanskelighederne med risikostyring.
• Ikke alle usikre designs er skabt lige: Ingen af ​​de analyserede systemer understøtter logisk signering, og de fleste (52%) kompilerer deres logik til indbygget maskinkode. 62 % af disse systemer accepterer firmwaredownloads via Ethernet, mens kun 51 % har godkendelse til denne funktionalitet.
• Offensive kapaciteter er mere gennemførlige at udvikle, end man ofte forestiller sig: Omvendt udvikling af en enkelt proprietær protokol tog mellem 1 dag og 2 uger, mens det tog 5 til 6 måneder at opnå det samme for komplekse multiprotokolsystemer.