АҚШ-тың Киберқауіпсіздік және инфрақұрылым агенттігі (CISA) ұйымдарға интернеттен әрқашан оқшауланбауы керек, бірақ операциялық технология (OT) құрылғыларына әсер ететін жақында ашылған осалдықтарды тексеруді ескертті.
CISA бар бес кеңес шығарды Forescout зерттеушілері анықтаған өнеркәсіптік басқару жүйелеріне әсер ететін көптеген осалдықтарды қамтиды.
Forescout осы аптада операциялық технология (OT) құрылғыларына арналған бағдарламалық қамтамасыз етудегі жалпы қауіпсіздік мәселелерін қамтитын «OT:ICEFALL» есебін шығарды. Олар ашқан қателер Honeywell, Motorola, Siemens және т.б. құрылғыларға әсер етеді.
OT is a subset of the Internet of Things (IoT). OT covers industrial control systems (ICS) that may be connected to the internet while the broader IoT category includes consumer items like TVs, doorbells, and routers.
Forescaut егжей-тегжейлі айтып берді 56 vulnerabilities in a single report осы жалпы проблемаларды көрсету үшін.
CISA бес сәйкес Өнеркәсіптік басқару жүйелері бойынша кеңестерді (ICSA) шығарды, олар хабарланған осалдықтар туралы хабарлама береді және осы және басқа киберқауіпсіздік шабуылдарына қатысты тәуекелдерді азайту үшін бастапқы азайту шараларын анықтайды.
Кеңестер Жапонияның JTEKT бағдарламалық жасақтамасына әсер ететін маңызды кемшіліктер туралы мәліметтерді, американдық Phoenix Contact компаниясының құрылғыларына әсер ететін үш ақаулық және неміс Siemens фирмасының өнімдеріне әсер ететін бір ақаулықты қамтиды.
үшін ICSA-22-172-02 кеңесі JTEKT TOYOPUC аутентификацияның жетіспейтін мәліметтері және артықшылықты арттыру ақаулары. Олардың ауырлық дәрежесі 7-нан 2-10.
Phoenix құрылғыларына әсер ететін кемшіліктер ICSA-22-172-03 кеңестерінде егжей-тегжейлі берілген. Phoenix Contact Classic Line Controllers; ICSA-22-172-04 үшін Phoenix Contact ProConOS және MULTIPROG; және ICSA-22-172-05: Phoenix Contact Classic Line өнеркәсіптік контроллерлері.
Маңызды осалдықтары бар Siemens бағдарламалық құралы ICSA-22-172-06 кеңесінде егжей-тегжейлі берілген. Siemens WinCC ОА. Бұл қашықтан пайдаланатын қате, ауырлық ұпайы 9.8-нан 10.
«Осы осалдықты сәтті пайдалану шабуылдаушыға аутентификациядан өтпей-ақ басқа пайдаланушылардың кейпін көрсетуге немесе клиент-сервер протоколын пайдалануға мүмкіндік береді», - деп ескертеді CISA.
OT құрылғылары желіде ауа саңылаулары болуы керек, бірақ олар жиі болмайды, бұл күрделі кибершабуылдаушыларға ену үшін кеңірек кенеп береді.
Forescount анықтаған 56 осалдық төрт негізгі санатқа бөлінді, оның ішінде қауіпсіз емес инженерлік протоколдар, әлсіз криптография немесе бұзылған аутентификация схемалары, қауіпсіз микробағдарлама жаңартулары және жергілікті функционалдылық арқылы қашықтан кодты орындау.
Фирма осалдықтарды (CVE) жинақ ретінде маңызды инфрақұрылымдық жабдықты жеткізудегі кемшіліктер жиі кездесетін мәселе екенін көрсету үшін жариялады.
«OT:ICEFALL көмегімен біз бір өнімге арналған CVE кезеңдік жарылыстарына немесе жиі болатын жалпыға ортақ, нақты оқиғалардың шағын жиынтығына сенбей, дизайн бойынша қауіпсіз емес OT осалдықтарын ашып, сандық шолуды ұсынғымыз келді. Белгілі бір жеткізуші немесе актив иесі кінәлі ретінде жойылды » Форскаут айтты.
«Мақсат – бұл жүйелердің мөлдір емес және меншікті табиғаты, олардың айналасындағы осалдықты басқарудың оңтайлы еместігі және сертификаттар ұсынатын жиі жалған қауіпсіздік сезімі OT тәуекелдерін басқару күш-жігерін айтарлықтай қиындататынын көрсету», - делінген хабарламада.
Қатты толығырақ блогпостта, there are some common faults that developers should be aware of: