CISA өнеркәсіптік басқару жүйелеріндегі бағдарламалық ақаулар туралы ескертеді

АҚШ-тың Киберқауіпсіздік және инфрақұрылым агенттігі (CISA) ұйымдарға интернеттен әрқашан оқшауланбауы керек, бірақ операциялық технология (OT) құрылғыларына әсер ететін жақында ашылған осалдықтарды тексеруді ескертті. 

CISA бар бес кеңес шығарды Forescout зерттеушілері анықтаған өнеркәсіптік басқару жүйелеріне әсер ететін көптеген осалдықтарды қамтиды. 

Forescout осы аптада операциялық технология (OT) құрылғыларына арналған бағдарламалық қамтамасыз етудегі жалпы қауіпсіздік мәселелерін қамтитын «OT:ICEFALL» есебін шығарды. Олар ашқан қателер Honeywell, Motorola, Siemens және т.б. құрылғыларға әсер етеді. 

OT is a subset of the Internet of Things (IoT). OT covers industrial control systems (ICS) that may be connected to the internet while the broader IoT category includes consumer items like TVs, doorbells, and routers. 

Forescaut егжей-тегжейлі айтып берді 56 vulnerabilities in a single report осы жалпы проблемаларды көрсету үшін.

CISA бес сәйкес Өнеркәсіптік басқару жүйелері бойынша кеңестерді (ICSA) шығарды, олар хабарланған осалдықтар туралы хабарлама береді және осы және басқа киберқауіпсіздік шабуылдарына қатысты тәуекелдерді азайту үшін бастапқы азайту шараларын анықтайды.  

Кеңестер Жапонияның JTEKT бағдарламалық жасақтамасына әсер ететін маңызды кемшіліктер туралы мәліметтерді, американдық Phoenix Contact компаниясының құрылғыларына әсер ететін үш ақаулық және неміс Siemens фирмасының өнімдеріне әсер ететін бір ақаулықты қамтиды.  

үшін ICSA-22-172-02 кеңесі JTEKT TOYOPUC аутентификацияның жетіспейтін мәліметтері және артықшылықты арттыру ақаулары. Олардың ауырлық дәрежесі 7-нан 2-10.

Phoenix құрылғыларына әсер ететін кемшіліктер ICSA-22-172-03 кеңестерінде егжей-тегжейлі берілген. Phoenix Contact Classic Line Controllers; ICSA-22-172-04 үшін Phoenix Contact ProConOS және MULTIPROG; және ICSA-22-172-05: Phoenix Contact Classic Line өнеркәсіптік контроллерлері. 

Маңызды осалдықтары бар Siemens бағдарламалық құралы ICSA-22-172-06 кеңесінде егжей-тегжейлі берілген. Siemens WinCC ОА. Бұл қашықтан пайдаланатын қате, ауырлық ұпайы 9.8-нан 10. 

«Осы осалдықты сәтті пайдалану шабуылдаушыға аутентификациядан өтпей-ақ басқа пайдаланушылардың кейпін көрсетуге немесе клиент-сервер протоколын пайдалануға мүмкіндік береді», - деп ескертеді CISA.

OT құрылғылары желіде ауа саңылаулары болуы керек, бірақ олар жиі болмайды, бұл күрделі кибершабуылдаушыларға ену үшін кеңірек кенеп береді.  

Forescount анықтаған 56 осалдық төрт негізгі санатқа бөлінді, оның ішінде қауіпсіз емес инженерлік протоколдар, әлсіз криптография немесе бұзылған аутентификация схемалары, қауіпсіз микробағдарлама жаңартулары және жергілікті функционалдылық арқылы қашықтан кодты орындау. 

Фирма осалдықтарды (CVE) жинақ ретінде маңызды инфрақұрылымдық жабдықты жеткізудегі кемшіліктер жиі кездесетін мәселе екенін көрсету үшін жариялады.  

«OT:ICEFALL көмегімен біз бір өнімге арналған CVE кезеңдік жарылыстарына немесе жиі болатын жалпыға ортақ, нақты оқиғалардың шағын жиынтығына сенбей, дизайн бойынша қауіпсіз емес OT осалдықтарын ашып, сандық шолуды ұсынғымыз келді. Белгілі бір жеткізуші немесе актив иесі кінәлі ретінде жойылды » Форскаут айтты. 

«Мақсат – бұл жүйелердің мөлдір емес және меншікті табиғаты, олардың айналасындағы осалдықты басқарудың оңтайлы еместігі және сертификаттар ұсынатын жиі жалған қауіпсіздік сезімі OT тәуекелдерін басқару күш-жігерін айтарлықтай қиындататынын көрсету», - делінген хабарламада.

 Қатты толығырақ блогпостта, there are some common faults that developers should be aware of:

• Дизайн бойынша қауіпсіз емес осалдықтар көп: Ол анықтаған осалдықтардың үштен бірінен астамы (38%) тіркелгі деректерін бұзуға мүмкіндік береді, микробағдарлама манипуляциясы екінші орында (21%) және қашықтан кодты орындау үшінші орында (14%). 
• Көбінесе осал өнімдер сертификатталады: Зардап шеккен өнім отбасыларының 74%-ында қауіпсіздік сертификатының қандай да бір түрі бар және ол ескертетін мәселелердің көпшілігі осалдықтарды терең анықтау кезінде салыстырмалы түрде тез ашылуы керек. Бұл мәселеге ықпал ететін факторларға бағалаудың шектеулі ауқымы, қауіпсіздіктің анық емес анықтамалары және функционалдық тестілеуге назар аудару кіреді.
• Risk management is complicated by the lack of CVEs: Құрылғының немесе протоколдың қауіпті екенін білу жеткіліксіз. Тәуекелдерді басқару бойынша негізделген шешімдер қабылдау үшін актив иелері бұл құрамдастардың қаншалықты қауіпті екенін білуі керек. Дизайн бойынша қауіпсіздіктің нәтижесі болып саналатын мәселелерге әрқашан CVE тағайындалмаған, сондықтан олар жиі көрінетін және әрекет ету мүмкін емес болып қалады.
• Дизайн бойынша қауіпсіз емес жеткізу тізбегі компоненттері бар: Vulnerabilities in OT supply chain components tend to not be reported by every affected manufacturer, which contributes to the difficulties of risk management.
• Қауіпсіз дизайнның барлығы бірдей жасалмайды: Талданған жүйелердің ешқайсысы логикалық қолтаңбаны қолдамайды және көпшілігі (52%) логикасын жергілікті машина кодына құрастырады. Бұл жүйелердің 62%-ы микробағдарламаны Ethernet арқылы жүктеп алуды қабылдайды, ал тек 51%-ында бұл функцияның аутентификациясы бар.
• Шабуылдық қабілеттерді жиі ойлағаннан гөрі дамыту мүмкін: Reverse engineering a single proprietary protocol took between 1 day and 2 weeks, while achieving the same for complex, multi-protocol systems took 5 to 6 months.