CISA alerta sobre falhas de software em sistemas de controle industrial

A Agência de Segurança e Infraestrutura dos EUA (CISA) alertou as organizações para verificar as vulnerabilidades divulgadas recentemente que afetam os dispositivos de tecnologia operacional (OT) que devem, mas nem sempre estão isolados da Internet. 

CISA tem lançou lançou cinco avisos cobrindo múltiplas vulnerabilidades que afetam os sistemas de controle industrial descobertos por pesquisadores da Forescout. 

A Forescout divulgou esta semana seu relatório “OT:ICEFALL”, que abrange um conjunto de problemas comuns de segurança em software para dispositivos de tecnologia operacional (OT). Os bugs que eles divulgaram afetam dispositivos da Honeywell, Motorola, Siemens e outros. 

OT é um subconjunto da Internet das Coisas (IoT). OT abrange sistemas de controle industrial (ICS) que podem ser conectados à Internet, enquanto a categoria mais ampla de IoT inclui itens de consumo como TVs, campainhas e roteadores. 

Foresout detalhou o 56 vulnerabilidades em um único relatório para destacar esses problemas comuns.

A CISA lançou cinco Comunicações de Sistemas de Controles Industriais (ICSAs) correspondentes que, segundo ela, notificam as vulnerabilidades relatadas e identificam mitigações de linha de base para reduzir os riscos desses e de outros ataques de segurança cibernética.  

Os avisos incluem detalhes de falhas críticas que afetam o software da japonesa JTEKT, três falhas que afetam os dispositivos do fornecedor americano Phoenix Contact e uma que afeta os produtos da empresa alemã Siemens.  

A assessoria ICSA-22-172-02 para JTEKT TOYOPUC detalhes faltando falhas de autenticação e escalonamento de privilégios. Estes têm uma classificação de gravidade de 7-2 em 10.

As falhas que afetam os dispositivos Phoenix são detalhadas nos avisos ICSA-22-172-03 para Controladores de linha clássica da Phoenix Contact; ICSA-22-172-04 para Phoenix Contact ProConOS e MULTIPROG; e ICSA-22-172-05: Controladores Industriais da Linha Classic da Phoenix Contact. 

O software Siemens com vulnerabilidades críticas são detalhados no comunicado ICSA-22-172-06 para Siemens WinCC OA. É um bug explorável remotamente com uma pontuação de gravidade de 9.8 em 10. 

“A exploração bem-sucedida desta vulnerabilidade pode permitir que um invasor se passe por outros usuários ou explore o protocolo cliente-servidor sem ser autenticado”, observa a CISA.

Os dispositivos OT devem ser air-gapped em uma rede, mas muitas vezes não são, dando aos ciberataques sofisticados uma busca mais ampla para penetrar.  

As 56 vulnerabilidades identificadas pelo Forescount caíram em quatro categorias principais, incluindo protocolos de engenharia inseguros, criptografia fraca ou esquemas de autenticação quebrados, atualizações de firmware inseguras e execução remota de código por meio de funcionalidade nativa. 

A empresa publicou as vulnerabilidades (CVEs) como uma coleção para ilustrar que falhas no fornecimento de hardware de infraestrutura crítica são um problema comum.  

“Com o OT:ICEFALL, queríamos divulgar e fornecer uma visão geral quantitativa das vulnerabilidades inseguras por design do OT, em vez de depender das rajadas periódicas de CVEs para um único produto ou um pequeno conjunto de incidentes públicos do mundo real que geralmente são descartado como um fornecedor específico ou proprietário de ativos sendo culpado”, Forescout disse. 

“O objetivo é ilustrar como a natureza opaca e proprietária desses sistemas, o gerenciamento de vulnerabilidades abaixo do ideal em torno deles e a sensação frequentemente falsa de segurança oferecida pelas certificações complicam significativamente os esforços de gerenciamento de risco de OT”, afirmou.

 Tão firme detalhes em um blogpost, há algumas falhas comuns que os desenvolvedores devem estar cientes:

• Vulnerabilidades inseguras por design são abundantes: Mais de um terço das vulnerabilidades encontradas (38%) permitem o comprometimento de credenciais, com a manipulação de firmware em segundo lugar (21%) e a execução remota de código em terceiro (14%). 
• Os produtos vulneráveis ​​geralmente são certificados: 74% das famílias de produtos afetadas têm algum tipo de certificação de segurança e a maioria dos problemas que ele alerta deve ser descoberto com relativa rapidez durante a descoberta de vulnerabilidades em profundidade. Os fatores que contribuem para esse problema incluem escopo limitado para avaliações, definições de segurança opacas e foco em testes funcionais.
• A gestão de risco é complicada pela falta de CVEs: não basta saber que um dispositivo ou protocolo é inseguro. Para tomar decisões informadas de gerenciamento de risco, os proprietários de ativos precisam saber como esses componentes são inseguros. Questões consideradas o resultado de insegurança desde o projeto nem sempre foram atribuídas a CVEs, então elas geralmente permanecem menos visíveis e acionáveis ​​do que deveriam.
• Existem componentes da cadeia de suprimentos inseguros por design: Vulnerabilidades em componentes da cadeia de suprimentos OT tendem a não ser relatadas por todos os fabricantes afetados, o que contribui para as dificuldades de gerenciamento de riscos.
• Nem todos os designs inseguros são criados iguais: Nenhum dos sistemas analisados ​​suporta assinatura lógica e a maioria (52%) compila sua lógica para código de máquina nativo. 62% desses sistemas aceitam downloads de firmware via Ethernet, enquanto apenas 51% possuem autenticação para essa funcionalidade.
• As capacidades ofensivas são mais viáveis ​​de desenvolver do que muitas vezes imaginado: A engenharia reversa de um único protocolo proprietário levou entre 1 dia e 2 semanas, enquanto a obtenção do mesmo para sistemas complexos e multiprotocolos levou de 5 a 6 meses.