A Agência de Segurança e Infraestrutura dos EUA (CISA) alertou as organizações para verificar as vulnerabilidades divulgadas recentemente que afetam os dispositivos de tecnologia operacional (OT) que devem, mas nem sempre estão isolados da Internet.
CISA tem lançou lançou cinco avisos cobrindo múltiplas vulnerabilidades que afetam os sistemas de controle industrial descobertos por pesquisadores da Forescout.
A Forescout divulgou esta semana seu relatório “OT:ICEFALL”, que abrange um conjunto de problemas comuns de segurança em software para dispositivos de tecnologia operacional (OT). Os bugs que eles divulgaram afetam dispositivos da Honeywell, Motorola, Siemens e outros.
OT é um subconjunto da Internet das Coisas (IoT). OT abrange sistemas de controle industrial (ICS) que podem ser conectados à Internet, enquanto a categoria mais ampla de IoT inclui itens de consumo como TVs, campainhas e roteadores.
Foresout detalhou o 56 vulnerabilidades em um único relatório para destacar esses problemas comuns.
A CISA lançou cinco Comunicações de Sistemas de Controles Industriais (ICSAs) correspondentes que, segundo ela, notificam as vulnerabilidades relatadas e identificam mitigações de linha de base para reduzir os riscos desses e de outros ataques de segurança cibernética.
Os avisos incluem detalhes de falhas críticas que afetam o software da japonesa JTEKT, três falhas que afetam os dispositivos do fornecedor americano Phoenix Contact e uma que afeta os produtos da empresa alemã Siemens.
A assessoria ICSA-22-172-02 para JTEKT TOYOPUC detalhes faltando falhas de autenticação e escalonamento de privilégios. Estes têm uma classificação de gravidade de 7-2 em 10.
As falhas que afetam os dispositivos Phoenix são detalhadas nos avisos ICSA-22-172-03 para Controladores de linha clássica da Phoenix Contact; ICSA-22-172-04 para Phoenix Contact ProConOS e MULTIPROG; e ICSA-22-172-05: Controladores Industriais da Linha Classic da Phoenix Contact.
O software Siemens com vulnerabilidades críticas são detalhados no comunicado ICSA-22-172-06 para Siemens WinCC OA. É um bug explorável remotamente com uma pontuação de gravidade de 9.8 em 10.
“A exploração bem-sucedida desta vulnerabilidade pode permitir que um invasor se passe por outros usuários ou explore o protocolo cliente-servidor sem ser autenticado”, observa a CISA.
Os dispositivos OT devem ser air-gapped em uma rede, mas muitas vezes não são, dando aos ciberataques sofisticados uma busca mais ampla para penetrar.
As 56 vulnerabilidades identificadas pelo Forescount caíram em quatro categorias principais, incluindo protocolos de engenharia inseguros, criptografia fraca ou esquemas de autenticação quebrados, atualizações de firmware inseguras e execução remota de código por meio de funcionalidade nativa.
A empresa publicou as vulnerabilidades (CVEs) como uma coleção para ilustrar que falhas no fornecimento de hardware de infraestrutura crítica são um problema comum.
“Com o OT:ICEFALL, queríamos divulgar e fornecer uma visão geral quantitativa das vulnerabilidades inseguras por design do OT, em vez de depender das rajadas periódicas de CVEs para um único produto ou um pequeno conjunto de incidentes públicos do mundo real que geralmente são descartado como um fornecedor específico ou proprietário de ativos sendo culpado”, Forescout disse.
“O objetivo é ilustrar como a natureza opaca e proprietária desses sistemas, o gerenciamento de vulnerabilidades abaixo do ideal em torno deles e a sensação frequentemente falsa de segurança oferecida pelas certificações complicam significativamente os esforços de gerenciamento de risco de OT”, afirmou.
Tão firme detalhes em um blogpost, há algumas falhas comuns que os desenvolvedores devem estar cientes: