यूएस साइबरसिक्योरिटी एंड इंफ्रास्ट्रक्चर एजेंसी (सीआईएसए) ने संगठनों को हाल ही में प्रकट की गई कमजोरियों की जांच करने के लिए चेतावनी दी है जो परिचालन प्रौद्योगिकी (ओटी) उपकरणों को प्रभावित कर रहे हैं जो हमेशा इंटरनेट से अलग नहीं होते हैं।
सीआईएसए है जारी की गई पांच एडवाइजरी Forescout में शोधकर्ताओं द्वारा खोजे गए औद्योगिक नियंत्रण प्रणालियों को प्रभावित करने वाली कई कमजोरियों को कवर करना।
Forescout ने इस सप्ताह अपनी रिपोर्ट "OT:ICEFALL" जारी की, जिसमें परिचालन प्रौद्योगिकी (OT) उपकरणों के लिए सॉफ़्टवेयर में सामान्य सुरक्षा मुद्दों का एक सेट शामिल है। उन्होंने जिन बगों का खुलासा किया, वे हनीवेल, मोटोरोला, सीमेंस और अन्य के उपकरणों को प्रभावित करते हैं।
OT इंटरनेट ऑफ थिंग्स (IoT) का एक सबसेट है। ओटी में औद्योगिक नियंत्रण प्रणाली (आईसीएस) शामिल हैं जो इंटरनेट से जुड़ी हो सकती हैं जबकि व्यापक आईओटी श्रेणी में टीवी, डोरबेल और राउटर जैसी उपभोक्ता वस्तुएं शामिल हैं।
पूर्वाभास विस्तृत एक ही रिपोर्ट में 56 कमजोरियां इन सामान्य समस्याओं को उजागर करने के लिए।
सीआईएसए ने पांच संबंधित औद्योगिक नियंत्रण प्रणाली सलाहकार (आईसीएसए) जारी किए हैं, जिसमें कहा गया है कि रिपोर्ट की कमजोरियों की सूचना प्रदान करें और इन और अन्य साइबर सुरक्षा हमलों के जोखिम को कम करने के लिए आधारभूत शमन की पहचान करें।
एडवाइजरी में जापान के JTEKT के सॉफ्टवेयर को प्रभावित करने वाली महत्वपूर्ण खामियों का विवरण, अमेरिकी विक्रेता फीनिक्स कॉन्टैक्ट के उपकरणों को प्रभावित करने वाली तीन खामियां और जर्मन फर्म सीमेंस के उत्पादों को प्रभावित करने वाली एक जानकारी शामिल है।
ICSA-22-172-02 के लिए सलाहकार JTEKT टोयोटा विवरण गुम प्रमाणीकरण और विशेषाधिकार वृद्धि दोष। इनकी गंभीरता रेटिंग 7 में से 2-10 है।
फीनिक्स उपकरणों को प्रभावित करने वाली खामियां ICSA-22-172-03 के लिए सलाह में विस्तृत हैं फीनिक्स क्लासिक लाइन नियंत्रकों से संपर्क करें; आईसीएसए-22-172-04 के लिए फीनिक्स संपर्क ProConOS और MULTIPROG; और आईसीएसए-22-172-05: फीनिक्स क्लासिक लाइन औद्योगिक नियंत्रकों से संपर्क करें.
महत्वपूर्ण कमजोरियों वाले सीमेंस सॉफ्टवेयर के बारे में सलाहकार आईसीएसए-22-172-06 में विस्तार से बताया गया है। सीमेंस विनसीसी ओए. यह 9.8 में से 10 के गंभीरता स्कोर के साथ एक दूरस्थ रूप से शोषक बग है।
"इस भेद्यता का सफल शोषण एक हमलावर को अन्य उपयोगकर्ताओं का प्रतिरूपण करने या प्रमाणित किए बिना क्लाइंट-सर्वर प्रोटोकॉल का फायदा उठाने की अनुमति दे सकता है," CISA नोट करता है।
ओटी उपकरणों को एक नेटवर्क पर एयर-गैप किया जाना चाहिए, लेकिन अक्सर वे नहीं होते हैं, परिष्कृत साइबर हमलावरों को घुसने के लिए एक व्यापक कैनवास देते हैं।
फोरकाउंट द्वारा पहचानी गई 56 कमजोरियां चार मुख्य श्रेणियों में आती हैं, जिनमें असुरक्षित इंजीनियरिंग प्रोटोकॉल, कमजोर क्रिप्टोग्राफी या टूटी हुई प्रमाणीकरण योजनाएं, असुरक्षित फर्मवेयर अपडेट और देशी कार्यक्षमता के माध्यम से रिमोट कोड निष्पादन शामिल हैं।
फर्म ने कमजोरियों (सीवीई) को एक संग्रह के रूप में प्रकाशित किया ताकि यह स्पष्ट किया जा सके कि महत्वपूर्ण बुनियादी ढांचे के हार्डवेयर की आपूर्ति में खामियां एक आम समस्या है।
"OT:ICEFALL के साथ, हम किसी एकल उत्पाद या सार्वजनिक, वास्तविक दुनिया की घटनाओं के एक छोटे समूह के लिए सीवीई के आवधिक फटने पर भरोसा करने के बजाय ओटी असुरक्षित-दर-डिज़ाइन कमजोरियों का एक मात्रात्मक अवलोकन प्रदान करना चाहते थे, जो अक्सर होते हैं एक विशेष विक्रेता या संपत्ति के मालिक के रूप में गलती की जा रही है, " पूर्वाभास ने कहा.
"लक्ष्य यह स्पष्ट करना है कि कैसे इन प्रणालियों की अपारदर्शी और मालिकाना प्रकृति, उनके आस-पास के उप-भेद्यता प्रबंधन और प्रमाणपत्रों द्वारा दी जाने वाली सुरक्षा की अक्सर-झूठी भावना ओटी जोखिम प्रबंधन प्रयासों को महत्वपूर्ण रूप से जटिल बनाती है," यह कहा।
फर्म के रूप में एक ब्लॉगपोस्ट में विवरण, कुछ सामान्य दोष हैं जिनके बारे में डेवलपर्स को अवगत होना चाहिए: