CISA avertizează asupra defectelor software ale sistemelor de control industrial

Agenția SUA pentru Infrastructură și Securitate Cibernetică (CISA) a avertizat organizațiile să verifice vulnerabilitățile recent dezvăluite care afectează dispozitivele cu tehnologie operațională (OT) care ar trebui, dar nu sunt întotdeauna izolate de internet. 

CISA are a eliberat a lansat cinci avize acoperind multiple vulnerabilități care afectează sistemele de control industrial descoperite de cercetătorii de la Forescout. 

Forescout a lansat în această săptămână raportul „OT:ICEFALL”, care acoperă un set de probleme comune de securitate în software-ul pentru dispozitivele cu tehnologie operațională (OT). Erorile pe care le-au dezvăluit afectează dispozitivele de la Honeywell, Motorola, Siemens și altele. 

OT este un subset al Internetului lucrurilor (IoT). OT acoperă sistemele de control industrial (ICS) care pot fi conectate la internet, în timp ce categoria mai largă IoT include articole de consum precum televizoare, sonerii și routere. 

Forestout a detaliat 56 de vulnerabilități într-un singur raport pentru a evidenția aceste probleme comune.

CISA a lansat cinci recomandări privind sistemele de control industrial (ICSA) corespunzătoare, despre care a spus că oferă o notificare cu privire la vulnerabilitățile raportate și identifică măsuri de reducere a riscurilor pentru aceste și alte atacuri de securitate cibernetică.  

Avizele includ detalii despre defecte critice care afectează software-ul de la JTEKT din Japonia, trei defecte care afectează dispozitivele de la furnizorul american Phoenix Contact și unul care afectează produsele de la firma germană Siemens.  

Avizul ICSA-22-172-02 pentru JTEKT TOYOPUC detaliile lipsesc de autentificare și defectele de escaladare a privilegiilor. Acestea au un rating de severitate de 7-2 din 10.

Defectele care afectează dispozitivele Phoenix sunt detaliate în avizele ICSA-22-172-03 pentru Controlere de linie Phoenix Contact Classic; ICSA-22-172-04 pt Phoenix Contact ProConOS și MULTIPROG; și ICSA-22-172-05: Controlere industriale Phoenix Contact Classic Line. 

Software-ul Siemens cu vulnerabilități critice sunt detaliate în avizul ICSA-22-172-06 pentru Siemens WinCC OA. Este o eroare exploatabilă de la distanță, cu un scor de severitate de 9.8 din 10. 

„Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator să uzurpare identitatea altor utilizatori sau să exploateze protocolul client-server fără a fi autentificat”, notează CISA.

Dispozitivele OT ar trebui să fie închise într-o rețea, dar adesea nu sunt, oferind atacatorilor cibernetici sofisticați o pânză mai largă de pătrundere.  

Cele 56 de vulnerabilități identificate de Forescount s-au împărțit în patru categorii principale, inclusiv protocoale de inginerie nesigure, criptografie slabă sau scheme de autentificare deteriorate, actualizări nesigure de firmware și execuția de cod la distanță prin funcționalitatea nativă. 

Firma a publicat vulnerabilitățile (CVE) ca o colecție pentru a ilustra faptul că defectele în furnizarea de hardware pentru infrastructura critică sunt o problemă comună.  

„Cu OT:ICEFALL, am vrut să dezvăluim și să furnizăm o imagine de ansamblu cantitativă a vulnerabilităților OT nesigure prin proiectare, mai degrabă decât să ne bazăm pe exploziile periodice de CVE pentru un singur produs sau un mic set de incidente publice, din lumea reală, care sunt adesea exclus din cauza faptului că un anumit vânzător sau proprietar de active fiind de vină”, spuse Forestout. 

„Scopul este de a ilustra modul în care natura opac și proprietară a acestor sisteme, gestionarea suboptimă a vulnerabilităților din jurul lor și sentimentul adesea fals de securitate oferit de certificări complică în mod semnificativ eforturile de gestionare a riscurilor OT”, se spune.

 La fel de fermă detalii într-o postare pe blog, există câteva erori comune de care dezvoltatorii ar trebui să fie conștienți:

• Abundă vulnerabilitățile nesigure prin proiectare: Mai mult de o treime dintre vulnerabilitățile pe care le-a găsit (38%) permit compromisul acreditărilor, manipularea firmware-ului ajungând pe locul al doilea (21%) și execuția codului de la distanță pe locul al treilea (14%). 
• Produsele vulnerabile sunt adesea certificate: 74% dintre familiile de produse afectate au o formă de certificare de securitate și majoritatea problemelor asupra cărora le avertizează ar trebui descoperite relativ rapid în timpul descoperirii aprofundate a vulnerabilităților. Factorii care contribuie la această problemă includ un domeniu limitat pentru evaluări, definiții de securitate opace și concentrarea pe testarea funcțională.
• Managementul riscului este complicat de lipsa CVE: Nu este suficient să știi că un dispozitiv sau un protocol este nesigur. Pentru a lua decizii informate de gestionare a riscurilor, proprietarii de active trebuie să știe cât de nesigure sunt aceste componente. Problemele considerate ca rezultat al insecurității prin proiectare nu li s-au atribuit întotdeauna CVE, așa că deseori rămân mai puțin vizibile și acționabile decât ar trebui să fie.
• Există componente ale lanțului de aprovizionare nesigure prin proiectare: Vulnerabilitățile din componentele lanțului de aprovizionare OT tind să nu fie raportate de fiecare producător afectat, ceea ce contribuie la dificultățile de gestionare a riscurilor.
• Nu toate modelele nesigure sunt create egale: Niciunul dintre sistemele analizate nu acceptă semnarea logică și majoritatea (52%) își compilează logica în codul mașină nativ. 62% dintre aceste sisteme acceptă descărcări de firmware prin Ethernet, în timp ce doar 51% au autentificare pentru această funcționalitate.
• Capacitățile ofensive sunt mai fezabile de dezvoltat decât se imaginează adesea: Ingineria inversă a unui singur protocol proprietar a durat între 1 zi și 2 săptămâni, în timp ce realizarea aceluiași lucru pentru sisteme complexe, multi-protocol a durat 5 până la 6 luni.