Η CISA προειδοποιεί για ελαττώματα λογισμικού στα συστήματα βιομηχανικού ελέγχου

Η Υπηρεσία Κυβερνοασφάλειας και Υποδομής των ΗΠΑ (CISA) έχει προειδοποιήσει τους οργανισμούς να ελέγχουν τα τρωτά σημεία που αποκαλύφθηκαν πρόσφατα και επηρεάζουν τις συσκευές λειτουργικής τεχνολογίας (OT) που θα έπρεπε, αλλά δεν είναι πάντα απομονωμένες από το Διαδίκτυο. 

Η CISA έχει κυκλοφόρησε δημοσίευσε πέντε συμβουλές καλύπτοντας πολλαπλές ευπάθειες που επηρεάζουν τα βιομηχανικά συστήματα ελέγχου που ανακαλύφθηκαν από ερευνητές στο Forescout. 

Η Forescout κυκλοφόρησε αυτήν την εβδομάδα την έκθεσή της «OT:ICEFALL», η οποία καλύπτει ένα σύνολο κοινών θεμάτων ασφάλειας στο λογισμικό για συσκευές λειτουργικής τεχνολογίας (OT). Τα σφάλματα που αποκάλυψαν επηρεάζουν συσκευές από τη Honeywell, τη Motorola, τη Siemens και άλλες. 

Το OT είναι ένα υποσύνολο του Internet of Things (IoT). Το OT καλύπτει συστήματα βιομηχανικού ελέγχου (ICS) που ενδέχεται να είναι συνδεδεμένα στο διαδίκτυο, ενώ η ευρύτερη κατηγορία IoT περιλαμβάνει καταναλωτικά είδη όπως τηλεοράσεις, κουδούνια πόρτας και δρομολογητές. 

Forescout λεπτομερώς το 56 τρωτά σημεία σε μία μόνο αναφορά για να τονίσει αυτά τα κοινά προβλήματα.

Η CISA κυκλοφόρησε πέντε αντίστοιχες Συμβουλές Συστημάτων Βιομηχανικού Ελέγχου (ICSA), οι οποίες, όπως είπε, παρέχουν ειδοποίηση για τα αναφερόμενα τρωτά σημεία και εντοπίζουν βασικούς μετριασμούς για τη μείωση των κινδύνων σε αυτές και άλλες επιθέσεις κυβερνοασφάλειας.  

Οι συμβουλές περιλαμβάνουν λεπτομέρειες σχετικά με κρίσιμα ελαττώματα που επηρεάζουν το λογισμικό της JTEKT της Ιαπωνίας, τρία ελαττώματα που επηρεάζουν συσκευές από τον αμερικανικό προμηθευτή Phoenix Contact και ένα που επηρεάζει προϊόντα της γερμανικής εταιρείας Siemens.  

Η συμβουλευτική ICSA-22-172-02 για JTEKT TOYOPUC Λείπουν λεπτομέρειες ελέγχου ταυτότητας και ελαττώματα κλιμάκωσης προνομίων. Αυτά έχουν βαθμολογία σοβαρότητας 7-2 στα 10.

Τα ελαττώματα που επηρεάζουν τις συσκευές Phoenix περιγράφονται λεπτομερώς στις υποδείξεις ICSA-22-172-03 για Ελεγκτές κλασικής γραμμής επαφής Phoenix; ICSA-22-172-04 για Το Phoenix Επικοινωνήστε με το ProConOS και το MULTIPROG; και ICSA-22-172-05: Phoenix Contact Classic Line Industrial Controllers. 

Το λογισμικό της Siemens με κρίσιμα τρωτά σημεία περιγράφεται λεπτομερώς στο συμβουλευτικό ICSA-22-172-06 για Siemens WinCC OA. Είναι ένα σφάλμα που μπορεί να εκμεταλλευτεί εξ αποστάσεως με βαθμολογία σοβαρότητας 9.8 στα 10. 

"Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν εισβολέα να μιμηθεί άλλους χρήστες ή να εκμεταλλευτεί το πρωτόκολλο πελάτη-διακομιστή χωρίς έλεγχο ταυτότητας", σημειώνει η CISA.

Οι συσκευές OT θα πρέπει να έχουν διάκενο σε ένα δίκτυο, αλλά συχνά δεν είναι, δίνοντας στους εξελιγμένους επιτιθέμενους στον κυβερνοχώρο ένα ευρύτερο πεδίο διείσδυσης.  

Τα 56 τρωτά σημεία που εντοπίστηκαν από το Forescount εμπίπτουν σε τέσσερις κύριες κατηγορίες, συμπεριλαμβανομένων των μη ασφαλών πρωτοκόλλων μηχανικής, της αδύναμης κρυπτογραφίας ή των κατεστραμμένων σχημάτων ελέγχου ταυτότητας, των ανασφαλών ενημερώσεων υλικολογισμικού και της απομακρυσμένης εκτέλεσης κώδικα μέσω εγγενούς λειτουργικότητας. 

Η εταιρεία δημοσίευσε τα τρωτά σημεία (CVE) ως συλλογή για να δείξει ότι τα ελαττώματα στην παροχή υλικού υποδομής ζωτικής σημασίας είναι ένα κοινό πρόβλημα.  

«Με το OT:ICEFALL, θέλαμε να αποκαλύψουμε και να παρέχουμε μια ποσοτική επισκόπηση των τρωτών σημείων του OT insecure-by-design αντί να βασιστούμε στις περιοδικές εκρήξεις CVE για ένα μεμονωμένο προϊόν ή ένα μικρό σύνολο δημόσιων, πραγματικών περιστατικών που είναι συχνά απογοητεύτηκε ως υπαίτιος συγκεκριμένου πωλητή ή ιδιοκτήτη περιουσιακού στοιχείου, είπε ο Forescout. 

«Ο στόχος είναι να καταδειχθεί πώς η αδιαφανής και ιδιόκτητη φύση αυτών των συστημάτων, η μη βέλτιστη διαχείριση ευπάθειας που τα περιβάλλει και η συχνά ψευδής αίσθηση ασφάλειας που προσφέρουν οι πιστοποιήσεις περιπλέκουν σημαντικά τις προσπάθειες διαχείρισης κινδύνου ΟΤ», ανέφερε.

 Ως σταθερή λεπτομέρειες σε μια ανάρτηση στο blog, υπάρχουν ορισμένα κοινά σφάλματα που πρέπει να γνωρίζουν οι προγραμματιστές:

• Οι ανασφαλείς ευπάθειες βάσει σχεδίου αφθονούν: Πάνω από το ένα τρίτο των τρωτών σημείων που εντόπισε (38%) επιτρέπουν τον παραβιασμό των διαπιστευτηρίων, με τη χειραγώγηση υλικολογισμικού να έρχεται στη δεύτερη θέση (21%) και την απομακρυσμένη εκτέλεση κώδικα στην τρίτη θέση (14%). 
• Τα ευάλωτα προϊόντα είναι συχνά πιστοποιημένα: Το 74% των οικογενειών προϊόντων που επηρεάζονται έχουν κάποια μορφή πιστοποίησης ασφαλείας και τα περισσότερα ζητήματα για τα οποία προειδοποιεί θα πρέπει να ανακαλυφθούν σχετικά γρήγορα κατά τη διάρκεια της εις βάθος ανακάλυψης ευπάθειας. Οι παράγοντες που συμβάλλουν σε αυτό το πρόβλημα περιλαμβάνουν περιορισμένο πεδίο για αξιολογήσεις, αδιαφανείς ορισμούς ασφαλείας και εστίαση σε λειτουργικές δοκιμές.
• Η διαχείριση κινδύνου περιπλέκεται από την έλλειψη CVE: Δεν αρκεί να γνωρίζετε ότι μια συσκευή ή ένα πρωτόκολλο δεν είναι ασφαλές. Για να λάβουν ενημερωμένες αποφάσεις διαχείρισης κινδύνου, οι ιδιοκτήτες περιουσιακών στοιχείων πρέπει να γνωρίζουν πώς αυτά τα στοιχεία είναι ανασφαλή. Τα ζητήματα που θεωρούνται ως αποτέλεσμα της ανασφάλειας από το σχεδιασμό δεν έχουν πάντα ανατεθεί CVE, επομένως συχνά παραμένουν λιγότερο ορατά και λειτουργικά από όσο θα έπρεπε.
• Υπάρχουν ανασφαλή εξαρτήματα της εφοδιαστικής αλυσίδας: Τα τρωτά σημεία στα εξαρτήματα της εφοδιαστικής αλυσίδας OT τείνουν να μην αναφέρονται από κάθε κατασκευαστή που επηρεάζεται, γεγονός που συμβάλλει στις δυσκολίες διαχείρισης κινδύνου.
• Δεν δημιουργούνται όλα τα ανασφαλή σχέδια ίσα: Κανένα από τα συστήματα που αναλύθηκαν δεν υποστηρίζει λογική υπογραφή και τα περισσότερα (52%) μεταγλωττίζουν τη λογική τους σε εγγενή κώδικα μηχανής. Το 62% αυτών των συστημάτων δέχεται λήψεις υλικολογισμικού μέσω Ethernet, ενώ μόνο το 51% διαθέτει έλεγχο ταυτότητας για αυτήν τη λειτουργία.
• Οι επιθετικές ικανότητες είναι πιο εφικτό να αναπτυχθούν από ό,τι φανταζόμαστε συχνά: Η αντίστροφη μηχανική ενός μοναδικού ιδιόκτητου πρωτοκόλλου χρειάστηκε από 1 ημέρα έως 2 εβδομάδες, ενώ η επίτευξη του ίδιου για πολύπλοκα συστήματα πολλαπλών πρωτοκόλλων χρειάστηκε 5 έως 6 μήνες.