CISA предупреждает об ошибках программного обеспечения в промышленных системах управления

Агентство США по кибербезопасности и инфраструктуре (CISA) предупредило организации проверять недавно обнаруженные уязвимости, затрагивающие устройства операционных технологий (OT), которые должны быть изолированы от Интернета, но не всегда. 

CISA имеет выпущено выпущено пять информационных бюллетеней покрывая многочисленные уязвимости, влияющие на промышленные системы управления, обнаруженные исследователями Forescout. 

На этой неделе компания Forescout опубликовала свой отчет «OT:ICEFALL», в котором рассматривается ряд общих проблем безопасности в программном обеспечении для устройств с операционными технологиями (OT). Обнаруженные ими ошибки затрагивают устройства компаний Honeywell, Motorola, Siemens и других. 

OT — это подмножество Интернета вещей (IoT). OT охватывает промышленные системы управления (ICS), которые могут быть подключены к Интернету, в то время как более широкая категория IoT включает потребительские товары, такие как телевизоры, дверные звонки и маршрутизаторы. 

Прогноз подробно 56 уязвимостей в одном отчете чтобы выделить эти общие проблемы.

CISA выпустила пять соответствующих советов по промышленным системам управления (ICSA), в которых, по ее словам, содержится уведомление об обнаруженных уязвимостях и определяются базовые меры по снижению рисков для этих и других атак кибербезопасности.  

Информационные бюллетени включают подробную информацию о критических недостатках, затрагивающих программное обеспечение японской компании JTEKT, трех недостатках, затрагивающих устройства американского поставщика Phoenix Contact, и одном дефекте, затрагивающем продукты немецкой фирмы Siemens.  

Рекомендации ICSA-22-172-02 для ДЖТЕКТ ТОЙОПУК детализирует отсутствующие недостатки аутентификации и повышения привилегий. Они имеют рейтинг серьезности 7-2 из 10.

Недостатки, влияющие на устройства Phoenix, подробно описаны в бюллетенях ICSA-22-172-03 для Контроллеры Phoenix Contact Classic Line; ИКСА-22-172-04 для Phoenix Contact ProConOS и MULTIPROG; и ICSA-22-172-05: Промышленные контроллеры Phoenix Contact Classic Line. 

Программное обеспечение Siemens с критическими уязвимостями подробно описано в бюллетене ICSA-22-172-06 для Siemens WinCC ОА. Это удаленно эксплуатируемая ошибка с оценкой серьезности 9.8 из 10. 

«Успешная эксплуатация этой уязвимости может позволить злоумышленнику выдавать себя за других пользователей или использовать протокол клиент-сервер без аутентификации», — отмечает CISA.

Устройства OT должны быть изолированы в сети, но часто это не так, что дает искушенным кибер-злоумышленникам более широкую территорию для проникновения.  

56 уязвимостей, выявленных Forescount, подразделяются на четыре основные категории, включая незащищенные инженерные протоколы, слабую криптографию или нарушенные схемы аутентификации, небезопасные обновления прошивки и удаленное выполнение кода с помощью собственных функций. 

Фирма опубликовала уязвимости (CVE) в виде набора, чтобы проиллюстрировать, что недостатки в поставке оборудования критической инфраструктуры являются распространенной проблемой.  

«С помощью OT:ICEFALL мы хотели раскрыть и предоставить количественный обзор уязвимостей OT, небезопасных по замыслу, а не полагаться на периодические всплески CVE для одного продукта или небольшой набор общедоступных реальных инцидентов, которые часто отмахивались от вины конкретного поставщика или владельца активов». Предсказатель сказал. 

«Цель состоит в том, чтобы проиллюстрировать, как непрозрачный и проприетарный характер этих систем, неоптимальное управление уязвимостями, окружающее их, и часто ложное чувство безопасности, предлагаемое сертификатами, значительно усложняют усилия по управлению рисками OT», — говорится в сообщении.

 Как фирма подробности в блоге, есть несколько распространенных ошибок, о которых следует знать разработчикам:

• Небезопасные по дизайну уязвимости изобилуют: более трети обнаруженных уязвимостей (38%) позволяют скомпрометировать учетные данные, на втором месте находятся манипуляции с прошивкой (21%), а на третьем — удаленное выполнение кода (14%). 
• Уязвимые продукты часто сертифицируются: 74% затронутых семейств продуктов имеют ту или иную форму сертификации безопасности, и большинство проблем, о которых она предупреждает, должны быть обнаружены относительно быстро во время тщательного обнаружения уязвимостей. Факторы, способствующие этой проблеме, включают ограниченные возможности для оценок, непрозрачные определения безопасности и акцент на функциональном тестировании.
• Управление рисками осложняется отсутствием CVE: Недостаточно знать, что устройство или протокол небезопасны. Чтобы принимать обоснованные решения по управлению рисками, владельцы активов должны знать, насколько эти компоненты небезопасны. Проблемам, считающимся результатом отсутствия безопасности, не всегда присваиваются CVE, поэтому они часто остаются менее заметными и требующими действий, чем должны быть.
• Наличие незащищенных компонентов цепи поставок: Об уязвимостях в компонентах цепочки поставок OT, как правило, сообщает не каждый затронутый производитель, что усложняет управление рисками.
• Не все небезопасные конструкции одинаковы: ни одна из проанализированных систем не поддерживает логическую подпись, и большинство (52%) компилируют свою логику в собственный машинный код. 62% этих систем допускают загрузку встроенного ПО через Ethernet, и только 51% имеют аутентификацию для этой функции.
• Наступательные возможности более реально развивать, чем часто предполагают: Реверс-инжиниринг одного проприетарного протокола занимал от 1 дня до 2 недель, в то время как создание того же самого для сложных многопротокольных систем занимало от 5 до 6 месяцев.