CISA varoittaa ohjelmistovirheistä teollisissa ohjausjärjestelmissä

Yhdysvaltain kyberturvallisuus- ja infrastruktuurivirasto (CISA) on varoittanut organisaatioita tarkistamaan äskettäin julkistetut haavoittuvuudet, jotka vaikuttavat operatiivisen teknologian (OT) laitteisiin, joiden pitäisi, mutta joita ei aina ole eristetty Internetistä. 

CISA: lla on julkaisi viisi neuvoa Se kattaa useita Forescoutin tutkijoiden löytämiä teollisuuden ohjausjärjestelmiin vaikuttavia haavoittuvuuksia. 

Forescout julkaisi tällä viikolla raportin "OT:ICEFALL", joka kattaa joukon yleisiä tietoturvaongelmia käyttötekniikan (OT) laitteiden ohjelmistoissa. Heidän paljastamansa virheet vaikuttavat Honeywellin, Motorolan, Siemensin ja muiden laitteisiin. 

OT on Internet of Things (IoT) -osajoukko. OT kattaa teolliset ohjausjärjestelmät (ICS), jotka voidaan yhdistää Internetiin, kun taas laajempi IoT-luokka sisältää kulutustavarat, kuten televisiot, ovikellot ja reitittimet. 

Forescout tarkensi 56 haavoittuvuutta yhdessä raportissa korostaa näitä yleisiä ongelmia.

CISA on julkaissut viisi vastaavaa Industrial Controls Systems Advisories (ICSA) -ilmoitusta, joiden se sanoi ilmoittavan raportoiduista haavoittuvuuksista ja tunnistavan perustason lievennyksiä näiden ja muiden kyberturvallisuushyökkäyksien riskien vähentämiseksi.  

Neuvonnassa on tietoja kriittisistä puutteista, jotka vaikuttavat japanilaisen JTEKT:n ohjelmistoihin, kolme yhdysvaltalaisen Phoenix Contactin laitteisiin vaikuttavaa virhettä ja yksi saksalaisen Siemensin tuotteisiin.  

ICSA-22-172-02-neuvonta JTEKT TOYOPUC yksityiskohdista puuttuu todennus- ja käyttöoikeuksien eskalointivirheitä. Näiden vakavuusluokitus on 7-2/10.

Phoenix-laitteisiin vaikuttavat viat on kuvattu tiedotteissa ICSA-22-172-03 Phoenix Contact Classic Line -ohjaimet; ICSA-22-172-04 varten Phoenix Contact ProConOS ja MULTIPROG; ja ICSA-22-172-05: Phoenix Contact Classic Line Industrial Controllers. 

Kriittisiä haavoittuvuuksia sisältävä Siemens-ohjelmisto on kuvattu tiedotteessa ICSA-22-172-06 Siemens WinCC OA. Se on etäkäyttöinen bugi, jonka vakavuusaste on 9.8/10. 

"Tämän haavoittuvuuden onnistunut hyödyntäminen voi antaa hyökkääjälle mahdollisuuden esiintyä muina käyttäjinä tai hyödyntää asiakas-palvelin-protokollaa ilman todennusta", CISA huomauttaa.

OT-laitteiden tulisi olla ilmarakoisia verkossa, mutta usein ne eivät ole, mikä antaa kehittyneille kyberhyökkääjille laajemman mahdollisuudet tunkeutua.  

Forescountin tunnistamat 56 haavoittuvuutta jakautuivat neljään pääluokkaan, mukaan lukien turvattomat suunnitteluprotokollat, heikko salaus tai rikkinäiset todennusjärjestelmät, suojaamattomat laiteohjelmistopäivitykset ja koodin etäsuoritus alkuperäisten toimintojen kautta. 

Yritys julkaisi haavoittuvuudet (CVE:t) kokoelmana havainnollistaakseen, että puutteet kriittisen infrastruktuurin laitteistojen toimittamisessa ovat yleinen ongelma.  

"OT:ICEFALLin avulla halusimme paljastaa ja tarjota kvantitatiivisen yleiskatsauksen OT:n suunnittelun epävarman haavoittuvuuksista sen sijaan, että luottaisimme yksittäisen tuotteen CVE-purskeisiin tai pieneen joukkoon julkisia, todellisia tapauksia, jotka ovat usein katsotaan tietyn myyjän tai omaisuuden omistajan syyllistyneeksi." Forescout sanoi. 

"Tavoitteena on havainnollistaa, kuinka näiden järjestelmien läpinäkymätön ja omistusoikeus, niitä ympäröivä epäoptimaalinen haavoittuvuuksien hallinta ja sertifikaattien tarjoama usein väärä turvallisuuden tunne vaikeuttavat merkittävästi OT-riskinhallintatoimia", se sanoi.

 Kuten kiinteä yksityiskohdat blogikirjoituksessa, on joitain yleisiä vikoja, jotka kehittäjien tulee olla tietoisia:

• Suunnittelultaan epäturvallisia haavoittuvuuksia on runsaasti: Yli kolmasosa sen löytämistä haavoittuvuuksista (38 %) mahdollistaa valtuustietojen vaarantamisen. Toiseksi tulee laiteohjelmiston manipulointi (21 %) ja koodin etäsuoritus kolmanneksi (14 %). 
• Haavoittuvat tuotteet on usein sertifioitu: 74 prosentilla tuoteperheistä, joita tämä koskee, on jonkinlainen tietoturvasertifikaatti, ja useimmat sen varoittamista ongelmista pitäisi havaita suhteellisen nopeasti perusteellisen haavoittuvuuden havaitsemisen aikana. Tähän ongelmaan vaikuttavia tekijöitä ovat rajalliset arviointimahdollisuudet, läpinäkymättömät suojausmääritykset ja keskittyminen toiminnalliseen testaukseen.
• Riskienhallintaa vaikeuttaa CVE:n puute: Ei riitä, että tietää, että laite tai protokolla on suojattu. Tehdäkseen tietoon perustuvia riskienhallintapäätöksiä omaisuuden omistajien on tiedettävä, kuinka nämä komponentit ovat epävarmoja. Suunnittelun epävarmuuden seurauksena pidetyille ongelmille ei ole aina osoitettu CVE:itä, joten ne jäävät usein vähemmän näkyviksi ja toimenpiteiksi kuin niiden pitäisi olla.
• Toimitusketjussa on epävarmoja osia: Kaikki valmistajat, joita asia koskee, eivät yleensä raportoi OT-toimitusketjun komponenttien haavoittuvuuksista, mikä lisää riskienhallinnan vaikeuksia.
• Kaikki epävarmat mallit eivät ole samanarvoisia: Mikään analysoiduista järjestelmistä ei tue logiikkaa allekirjoitusta ja useimmat (52 %) kääntävät logiikkansa alkuperäiseen konekoodiin. 62 % näistä järjestelmistä hyväksyy laiteohjelmiston lataukset Ethernetin kautta, kun taas vain 51 %:lla on todennus tälle toiminnalle.
• Hyökkäyskykyjä on helpompi kehittää kuin usein kuvitellaan: Yhden patentoidun protokollan käänteinen suunnittelu kesti 1 päivästä 2 viikkoon, kun taas saman saavuttaminen monimutkaisissa, usean protokollan järjestelmissä kesti 5-6 kuukautta.