CISA ने औद्योगिक नियंत्रण प्रणालियों में सॉफ़्टवेयर दोषों पर चेतावनी दी

यूएस साइबरसिक्योरिटी एंड इंफ्रास्ट्रक्चर एजेंसी (सीआईएसए) ने संगठनों को हाल ही में प्रकट की गई कमजोरियों की जांच करने के लिए चेतावनी दी है जो परिचालन प्रौद्योगिकी (ओटी) उपकरणों को प्रभावित कर रहे हैं जो हमेशा इंटरनेट से अलग नहीं होते हैं। 

सीआईएसए है जारी की गई पांच एडवाइजरी Forescout में शोधकर्ताओं द्वारा खोजे गए औद्योगिक नियंत्रण प्रणालियों को प्रभावित करने वाली कई कमजोरियों को कवर करना। 

Forescout ने इस सप्ताह अपनी रिपोर्ट "OT:ICEFALL" जारी की, जिसमें परिचालन प्रौद्योगिकी (OT) उपकरणों के लिए सॉफ़्टवेयर में सामान्य सुरक्षा मुद्दों का एक सेट शामिल है। उन्होंने जिन बगों का खुलासा किया, वे हनीवेल, मोटोरोला, सीमेंस और अन्य के उपकरणों को प्रभावित करते हैं। 

OT इंटरनेट ऑफ थिंग्स (IoT) का एक सबसेट है। ओटी में औद्योगिक नियंत्रण प्रणाली (आईसीएस) शामिल हैं जो इंटरनेट से जुड़ी हो सकती हैं जबकि व्यापक आईओटी श्रेणी में टीवी, डोरबेल और राउटर जैसी उपभोक्ता वस्तुएं शामिल हैं। 

पूर्वाभास विस्तृत एक ही रिपोर्ट में 56 कमजोरियां इन सामान्य समस्याओं को उजागर करने के लिए।

सीआईएसए ने पांच संबंधित औद्योगिक नियंत्रण प्रणाली सलाहकार (आईसीएसए) जारी किए हैं, जिसमें कहा गया है कि रिपोर्ट की कमजोरियों की सूचना प्रदान करें और इन और अन्य साइबर सुरक्षा हमलों के जोखिम को कम करने के लिए आधारभूत शमन की पहचान करें।  

एडवाइजरी में जापान के JTEKT के सॉफ्टवेयर को प्रभावित करने वाली महत्वपूर्ण खामियों का विवरण, अमेरिकी विक्रेता फीनिक्स कॉन्टैक्ट के उपकरणों को प्रभावित करने वाली तीन खामियां और जर्मन फर्म सीमेंस के उत्पादों को प्रभावित करने वाली एक जानकारी शामिल है।  

ICSA-22-172-02 के लिए सलाहकार JTEKT टोयोटा विवरण गुम प्रमाणीकरण और विशेषाधिकार वृद्धि दोष। इनकी गंभीरता रेटिंग 7 में से 2-10 है।

फीनिक्स उपकरणों को प्रभावित करने वाली खामियां ICSA-22-172-03 के लिए सलाह में विस्तृत हैं फीनिक्स क्लासिक लाइन नियंत्रकों से संपर्क करें; आईसीएसए-22-172-04 के लिए फीनिक्स संपर्क ProConOS और MULTIPROG; और आईसीएसए-22-172-05: फीनिक्स क्लासिक लाइन औद्योगिक नियंत्रकों से संपर्क करें. 

महत्वपूर्ण कमजोरियों वाले सीमेंस सॉफ्टवेयर के बारे में सलाहकार आईसीएसए-22-172-06 में विस्तार से बताया गया है। सीमेंस विनसीसी ओए. यह 9.8 में से 10 के गंभीरता स्कोर के साथ एक दूरस्थ रूप से शोषक बग है। 

"इस भेद्यता का सफल शोषण एक हमलावर को अन्य उपयोगकर्ताओं का प्रतिरूपण करने या प्रमाणित किए बिना क्लाइंट-सर्वर प्रोटोकॉल का फायदा उठाने की अनुमति दे सकता है," CISA नोट करता है।

ओटी उपकरणों को एक नेटवर्क पर एयर-गैप किया जाना चाहिए, लेकिन अक्सर वे नहीं होते हैं, परिष्कृत साइबर हमलावरों को घुसने के लिए एक व्यापक कैनवास देते हैं।  

फोरकाउंट द्वारा पहचानी गई 56 कमजोरियां चार मुख्य श्रेणियों में आती हैं, जिनमें असुरक्षित इंजीनियरिंग प्रोटोकॉल, कमजोर क्रिप्टोग्राफी या टूटी हुई प्रमाणीकरण योजनाएं, असुरक्षित फर्मवेयर अपडेट और देशी कार्यक्षमता के माध्यम से रिमोट कोड निष्पादन शामिल हैं। 

फर्म ने कमजोरियों (सीवीई) को एक संग्रह के रूप में प्रकाशित किया ताकि यह स्पष्ट किया जा सके कि महत्वपूर्ण बुनियादी ढांचे के हार्डवेयर की आपूर्ति में खामियां एक आम समस्या है।  

"OT:ICEFALL के साथ, हम किसी एकल उत्पाद या सार्वजनिक, वास्तविक दुनिया की घटनाओं के एक छोटे समूह के लिए सीवीई के आवधिक फटने पर भरोसा करने के बजाय ओटी असुरक्षित-दर-डिज़ाइन कमजोरियों का एक मात्रात्मक अवलोकन प्रदान करना चाहते थे, जो अक्सर होते हैं एक विशेष विक्रेता या संपत्ति के मालिक के रूप में गलती की जा रही है, " पूर्वाभास ने कहा. 

"लक्ष्य यह स्पष्ट करना है कि कैसे इन प्रणालियों की अपारदर्शी और मालिकाना प्रकृति, उनके आस-पास के उप-भेद्यता प्रबंधन और प्रमाणपत्रों द्वारा दी जाने वाली सुरक्षा की अक्सर-झूठी भावना ओटी जोखिम प्रबंधन प्रयासों को महत्वपूर्ण रूप से जटिल बनाती है," यह कहा।

 फर्म के रूप में एक ब्लॉगपोस्ट में विवरण, कुछ सामान्य दोष हैं जिनके बारे में डेवलपर्स को अवगत होना चाहिए:

• असुरक्षित-दर-डिज़ाइन कमजोरियाँ लाजिमी हैं: इसमें पाई गई एक तिहाई से अधिक कमजोरियां (38%) क्रेडेंशियल्स से समझौता करने की अनुमति देती हैं, फर्मवेयर हेरफेर दूसरे (21%) और रिमोट कोड निष्पादन तीसरे (14%) में आता है। 
• कमजोर उत्पादों को अक्सर प्रमाणित किया जाता है: प्रभावित उत्पाद परिवारों में से 74% के पास किसी न किसी प्रकार का सुरक्षा प्रमाणन होता है और जिन मुद्दों के बारे में यह चेतावनी देता है, उन्हें गहन भेद्यता खोज के दौरान अपेक्षाकृत जल्दी खोजा जाना चाहिए। इस समस्या में योगदान देने वाले कारकों में मूल्यांकन के लिए सीमित गुंजाइश, अपारदर्शी सुरक्षा परिभाषाएं और कार्यात्मक परीक्षण पर ध्यान केंद्रित करना शामिल है।
• सीवीई की कमी से जोखिम प्रबंधन जटिल है: यह जानना पर्याप्त नहीं है कि कोई उपकरण या प्रोटोकॉल असुरक्षित है। सूचित जोखिम प्रबंधन निर्णय लेने के लिए, परिसंपत्ति मालिकों को यह जानना होगा कि ये घटक कैसे असुरक्षित हैं। डिज़ाइन द्वारा असुरक्षा के परिणाम माने जाने वाले मुद्दों को हमेशा सीवीई नहीं सौंपा गया है, इसलिए वे अक्सर कम दिखाई देने योग्य और कार्रवाई योग्य रहते हैं जितना उन्हें होना चाहिए।
• असुरक्षित-दर-डिज़ाइन आपूर्ति श्रृंखला घटक हैं: ओटी आपूर्ति श्रृंखला घटकों में कमजोरियों की सूचना प्रत्येक प्रभावित निर्माता द्वारा नहीं दी जाती है, जो जोखिम प्रबंधन की कठिनाइयों में योगदान देता है।
• सभी असुरक्षित डिज़ाइन समान नहीं बनाए जाते हैं: किसी भी सिस्टम ने सपोर्ट लॉजिक साइनिंग का विश्लेषण नहीं किया और अधिकांश (52%) अपने लॉजिक को नेटिव मशीन कोड में संकलित करते हैं। उनमें से 62% सिस्टम ईथरनेट के माध्यम से फर्मवेयर डाउनलोड स्वीकार करते हैं, जबकि केवल 51% के पास इस कार्यक्षमता के लिए प्रमाणीकरण है।
• अक्सर कल्पना की तुलना में आक्रामक क्षमताओं को विकसित करना अधिक संभव है: रिवर्स इंजीनियरिंग एक एकल मालिकाना प्रोटोकॉल में 1 दिन और 2 सप्ताह के बीच का समय लगता है, जबकि जटिल, बहु-प्रोटोकॉल सिस्टम के लिए इसे प्राप्त करने में 5 से 6 महीने लगते हैं।