CISA memperingatkan kelemahan perangkat lunak dalam sistem kontrol industri

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memperingatkan organisasi untuk memeriksa kerentanan yang baru-baru ini diungkapkan yang memengaruhi perangkat teknologi operasional (OT) yang seharusnya tetapi tidak selalu diisolasi dari internet. 

CISA memiliki dirilis merilis lima nasihat mencakup berbagai kerentanan yang mempengaruhi sistem kontrol industri yang ditemukan oleh para peneliti di Forescout. 

Forescout minggu ini merilis laporannya "OT:ICEFALL", yang mencakup serangkaian masalah keamanan umum dalam perangkat lunak untuk perangkat teknologi operasional (OT). Bug yang mereka ungkapkan memengaruhi perangkat dari Honeywell, Motorola, Siemens, dan lainnya. 

OT adalah bagian dari Internet of Things (IoT). OT mencakup sistem kontrol industri (ICS) yang dapat dihubungkan ke internet sementara kategori IoT yang lebih luas mencakup barang-barang konsumen seperti TV, bel pintu, dan router. 

Prakiraan merinci 56 kerentanan dalam satu laporan untuk menyoroti masalah umum ini.

CISA telah merilis lima Penasihat Sistem Kontrol Industri (ICSA) yang sesuai yang dikatakan memberikan pemberitahuan tentang kerentanan yang dilaporkan dan mengidentifikasi mitigasi dasar untuk mengurangi risiko terhadap ini dan serangan keamanan siber lainnya.  

Nasihat tersebut mencakup rincian kelemahan kritis yang memengaruhi perangkat lunak dari JTEKT Jepang, tiga kelemahan yang memengaruhi perangkat dari vendor AS Phoenix Contact, dan satu yang memengaruhi produk dari perusahaan Jerman Siemens.  

Penasihat ICSA-22-172-02 untuk JTEKT TOYOPUC rincian kekurangan otentikasi dan eskalasi hak istimewa yang hilang. Ini memiliki peringkat keparahan 7-2 dari 10.

Cacat yang mempengaruhi perangkat Phoenix dirinci dalam saran ICSA-22-172-03 untuk Phoenix Kontak Pengontrol Garis Klasik; ICSA-22-172-04 untuk Phoenix Hubungi ProConOS dan MULTIPROG; dan ICSA-22-172-05 : Phoenix Contact Pengontrol Industri Garis Klasik. 

Perangkat lunak Siemens dengan kerentanan kritis dirinci dalam penasehat ICSA-22-172-06 untuk Siemens WinCC OA. Ini adalah bug yang dapat dieksploitasi dari jarak jauh dengan skor keparahan 9.8 dari 10. 

“Eksploitasi yang berhasil dari kerentanan ini dapat memungkinkan penyerang untuk meniru pengguna lain atau mengeksploitasi protokol client-server tanpa diautentikasi,” catat CISA.

Perangkat OT harus memiliki celah udara di jaringan tetapi seringkali tidak, memberikan penyerang dunia maya yang canggih kanvas yang lebih luas untuk ditembus.  

56 kerentanan yang diidentifikasi oleh Forescount jatuh ke dalam empat kategori utama, termasuk protokol teknik yang tidak aman, kriptografi yang lemah atau skema otentikasi yang rusak, pembaruan firmware yang tidak aman, dan eksekusi kode jarak jauh melalui fungsionalitas asli. 

Perusahaan menerbitkan kerentanan (CVE) sebagai kumpulan untuk menggambarkan bahwa kekurangan dalam pasokan perangkat keras infrastruktur kritis adalah masalah umum.  

“Dengan OT:ICEFALL, kami ingin mengungkapkan dan memberikan gambaran kuantitatif kerentanan OT yang tidak aman berdasarkan desain daripada mengandalkan ledakan CVE berkala untuk satu produk atau serangkaian kecil insiden publik di dunia nyata yang sering terjadi. ditepis sebagai vendor tertentu atau pemilik aset yang bersalah,” Pramuka berkata. 

“Tujuannya adalah untuk mengilustrasikan bagaimana sifat buram dan hak milik dari sistem ini, manajemen kerentanan suboptimal di sekitarnya, dan rasa aman yang sering salah yang ditawarkan oleh sertifikasi secara signifikan memperumit upaya manajemen risiko PL,” katanya.

 sebagai perusahaan detail di posting blog, ada beberapa kesalahan umum yang harus diperhatikan pengembang:

• Kerentanan tidak aman-oleh-desain berlimpah: Lebih dari sepertiga dari kerentanan yang ditemukan (38%) memungkinkan kompromi kredensial, dengan manipulasi firmware di urutan kedua (21%) dan eksekusi kode jarak jauh di urutan ketiga (14%). 
• Produk yang rentan sering kali disertifikasi: 74% dari keluarga produk yang terpengaruh memiliki beberapa bentuk sertifikasi keamanan dan sebagian besar masalah yang diperingatkannya harus ditemukan relatif cepat selama penemuan kerentanan mendalam. Faktor-faktor yang berkontribusi terhadap masalah ini termasuk ruang lingkup yang terbatas untuk evaluasi, definisi keamanan yang tidak jelas dan fokus pada pengujian fungsional.
• Manajemen risiko diperumit oleh kurangnya CVEs: Tidaklah cukup mengetahui bahwa perangkat atau protokol tidak aman. Untuk membuat keputusan manajemen risiko yang terinformasi, pemilik aset perlu mengetahui bagaimana komponen ini tidak aman. Masalah yang dianggap sebagai hasil dari ketidakamanan menurut desain tidak selalu diberikan pada CVE, sehingga sering kali tetap kurang terlihat dan tidak dapat ditindaklanjuti daripada yang seharusnya.
• Ada komponen rantai pasokan yang dirancang dengan tidak aman: Kerentanan dalam komponen rantai pasokan OT cenderung tidak dilaporkan oleh setiap produsen yang terpengaruh, yang berkontribusi pada kesulitan manajemen risiko.
• Tidak semua desain yang tidak aman diciptakan sama: Tak satu pun dari sistem yang dianalisis mendukung penandatanganan logika dan sebagian besar (52%) mengompilasi logikanya ke kode mesin asli. 62% dari sistem tersebut menerima unduhan firmware melalui Ethernet, sementara hanya 51% yang memiliki otentikasi untuk fungsi ini.
• Kemampuan ofensif lebih layak untuk dikembangkan daripada yang sering dibayangkan: Rekayasa balik satu protokol berpemilik membutuhkan waktu antara 1 hari dan 2 minggu, sementara mencapai hal yang sama untuk sistem multi-protokol yang kompleks membutuhkan waktu 5 hingga 6 bulan.