Det amerikanske Cybersecurity and Infrastructure Agency (CISA) har advaret organisationer om at tjekke nyligt afslørede sårbarheder, der påvirker enheder med operationel teknologi (OT), der burde, men ikke altid er isoleret fra internettet.
CISA har udgivet udgivet fem råd dækker flere sårbarheder, der påvirker industrielle kontrolsystemer, opdaget af forskere ved Forescout.
Forescout udgav i denne uge sin rapport "OT:ICEFALL", som dækker et sæt almindelige sikkerhedsproblemer i software til operationel teknologi (OT) enheder. De fejl, de afslørede, påvirker enheder fra Honeywell, Motorola, Siemens og andre.
OT er en undergruppe af tingenes internet (IoT). OT dækker industrielle kontrolsystemer (ICS), der kan være forbundet til internettet, mens den bredere IoT-kategori omfatter forbrugerartikler som tv'er, dørklokker og routere.
Forescout detaljerede 56 sårbarheder i en enkelt rapport at fremhæve disse almindelige problemer.
CISA har udgivet fem tilsvarende Industrial Controls Systems Advisories (ICSA'er), som den sagde giver besked om de rapporterede sårbarheder og identificerer baseline-reduktioner for at reducere risici for disse og andre cybersikkerhedsangreb.
Rådgivningen omfatter detaljer om kritiske fejl, der påvirker software fra japanske JTEKT, tre fejl, der påvirker enheder fra den amerikanske leverandør Phoenix Contact, og en, der påvirker produkter fra det tyske firma Siemens.
ICSA-22-172-02 rådgivende for JTEKT TOYOPUC detaljer, der mangler godkendelse og privilegieeskaleringsfejl. Disse har en sværhedsgrad på 7-2 ud af 10.
Fejl, der påvirker Phoenix-enheder, er beskrevet i vejledningerne ICSA-22-172-03 for Phoenix Contact Classic Line Controllere; ICSA-22-172-04 for Phoenix Contact ProConOS og MULTIPROG; og ICSA-22-172-05: Phoenix Contact Classic Line industricontrollere.
Siemens-softwaren med kritiske sårbarheder er beskrevet i vejledningen ICSA-22-172-06 for Siemens WinCC OA. Det er en fjernudnyttelig fejl med en alvorlighedsscore på 9.8 ud af 10.
"Vellykket udnyttelse af denne sårbarhed kan give en hacker mulighed for at efterligne andre brugere eller udnytte klient-server-protokollen uden at blive godkendt," bemærker CISA.
OT-enheder bør være luftgappede på et netværk, men det er de ofte ikke, hvilket giver sofistikerede cyberangribere et bredere felt at trænge igennem.
De 56 sårbarheder identificeret af Forescount faldt i fire hovedkategorier, herunder usikre tekniske protokoller, svag kryptografi eller ødelagte autentificeringsskemaer, usikre firmwareopdateringer og fjernudførelse af kode via indbygget funktionalitet.
Firmaet udgav sårbarhederne (CVE'er) som en samling for at illustrere, at fejl i leveringen af kritisk infrastrukturhardware er et almindeligt problem.
"Med OT:ICEFALL ønskede vi at afsløre og give et kvantitativt overblik over OT insecure-by-design sårbarheder i stedet for at stole på de periodiske udbrud af CVE'er for et enkelt produkt eller et lille sæt offentlige hændelser i den virkelige verden, der ofte er afvist som en bestemt sælger eller aktivejer, der har skylden." Forescout sagde.
"Målet er at illustrere, hvordan den uigennemsigtige og proprietære karakter af disse systemer, den suboptimale sårbarhedsstyring omkring dem og den ofte falske følelse af sikkerhed, som certificeringer tilbyder, markant komplicerer OT-risikostyringsindsatsen," hedder det.
Som fast detaljer i et blogindlæg, er der nogle almindelige fejl, som udviklere bør være opmærksomme på: