Yhdysvaltain kyberturvallisuus- ja infrastruktuurivirasto (CISA) on varoittanut organisaatioita tarkistamaan äskettäin julkistetut haavoittuvuudet, jotka vaikuttavat operatiivisen teknologian (OT) laitteisiin, joiden pitäisi, mutta joita ei aina ole eristetty Internetistä.
CISA: lla on julkaisi viisi neuvoa Se kattaa useita Forescoutin tutkijoiden löytämiä teollisuuden ohjausjärjestelmiin vaikuttavia haavoittuvuuksia.
Forescout julkaisi tällä viikolla raportin "OT:ICEFALL", joka kattaa joukon yleisiä tietoturvaongelmia käyttötekniikan (OT) laitteiden ohjelmistoissa. Heidän paljastamansa virheet vaikuttavat Honeywellin, Motorolan, Siemensin ja muiden laitteisiin.
OT on Internet of Things (IoT) -osajoukko. OT kattaa teolliset ohjausjärjestelmät (ICS), jotka voidaan yhdistää Internetiin, kun taas laajempi IoT-luokka sisältää kulutustavarat, kuten televisiot, ovikellot ja reitittimet.
Forescout tarkensi 56 haavoittuvuutta yhdessä raportissa korostaa näitä yleisiä ongelmia.
CISA on julkaissut viisi vastaavaa Industrial Controls Systems Advisories (ICSA) -ilmoitusta, joiden se sanoi ilmoittavan raportoiduista haavoittuvuuksista ja tunnistavan perustason lievennyksiä näiden ja muiden kyberturvallisuushyökkäyksien riskien vähentämiseksi.
Neuvonnassa on tietoja kriittisistä puutteista, jotka vaikuttavat japanilaisen JTEKT:n ohjelmistoihin, kolme yhdysvaltalaisen Phoenix Contactin laitteisiin vaikuttavaa virhettä ja yksi saksalaisen Siemensin tuotteisiin.
ICSA-22-172-02-neuvonta JTEKT TOYOPUC yksityiskohdista puuttuu todennus- ja käyttöoikeuksien eskalointivirheitä. Näiden vakavuusluokitus on 7-2/10.
Phoenix-laitteisiin vaikuttavat viat on kuvattu tiedotteissa ICSA-22-172-03 Phoenix Contact Classic Line -ohjaimet; ICSA-22-172-04 varten Phoenix Contact ProConOS ja MULTIPROG; ja ICSA-22-172-05: Phoenix Contact Classic Line Industrial Controllers.
Kriittisiä haavoittuvuuksia sisältävä Siemens-ohjelmisto on kuvattu tiedotteessa ICSA-22-172-06 Siemens WinCC OA. Se on etäkäyttöinen bugi, jonka vakavuusaste on 9.8/10.
"Tämän haavoittuvuuden onnistunut hyödyntäminen voi antaa hyökkääjälle mahdollisuuden esiintyä muina käyttäjinä tai hyödyntää asiakas-palvelin-protokollaa ilman todennusta", CISA huomauttaa.
OT-laitteiden tulisi olla ilmarakoisia verkossa, mutta usein ne eivät ole, mikä antaa kehittyneille kyberhyökkääjille laajemman mahdollisuudet tunkeutua.
Forescountin tunnistamat 56 haavoittuvuutta jakautuivat neljään pääluokkaan, mukaan lukien turvattomat suunnitteluprotokollat, heikko salaus tai rikkinäiset todennusjärjestelmät, suojaamattomat laiteohjelmistopäivitykset ja koodin etäsuoritus alkuperäisten toimintojen kautta.
Yritys julkaisi haavoittuvuudet (CVE:t) kokoelmana havainnollistaakseen, että puutteet kriittisen infrastruktuurin laitteistojen toimittamisessa ovat yleinen ongelma.
"OT:ICEFALLin avulla halusimme paljastaa ja tarjota kvantitatiivisen yleiskatsauksen OT:n suunnittelun epävarman haavoittuvuuksista sen sijaan, että luottaisimme yksittäisen tuotteen CVE-purskeisiin tai pieneen joukkoon julkisia, todellisia tapauksia, jotka ovat usein katsotaan tietyn myyjän tai omaisuuden omistajan syyllistyneeksi." Forescout sanoi.
"Tavoitteena on havainnollistaa, kuinka näiden järjestelmien läpinäkymätön ja omistusoikeus, niitä ympäröivä epäoptimaalinen haavoittuvuuksien hallinta ja sertifikaattien tarjoama usein väärä turvallisuuden tunne vaikeuttavat merkittävästi OT-riskinhallintatoimia", se sanoi.
Kuten kiinteä yksityiskohdat blogikirjoituksessa, on joitain yleisiä vikoja, jotka kehittäjien tulee olla tietoisia: