Агентство США по кибербезопасности и инфраструктуре (CISA) предупредило организации проверять недавно обнаруженные уязвимости, затрагивающие устройства операционных технологий (OT), которые должны быть изолированы от Интернета, но не всегда.
CISA имеет выпущено выпущено пять информационных бюллетеней покрывая многочисленные уязвимости, влияющие на промышленные системы управления, обнаруженные исследователями Forescout.
На этой неделе компания Forescout опубликовала свой отчет «OT:ICEFALL», в котором рассматривается ряд общих проблем безопасности в программном обеспечении для устройств с операционными технологиями (OT). Обнаруженные ими ошибки затрагивают устройства компаний Honeywell, Motorola, Siemens и других.
OT — это подмножество Интернета вещей (IoT). OT охватывает промышленные системы управления (ICS), которые могут быть подключены к Интернету, в то время как более широкая категория IoT включает потребительские товары, такие как телевизоры, дверные звонки и маршрутизаторы.
Прогноз подробно 56 уязвимостей в одном отчете чтобы выделить эти общие проблемы.
CISA выпустила пять соответствующих советов по промышленным системам управления (ICSA), в которых, по ее словам, содержится уведомление об обнаруженных уязвимостях и определяются базовые меры по снижению рисков для этих и других атак кибербезопасности.
Информационные бюллетени включают подробную информацию о критических недостатках, затрагивающих программное обеспечение японской компании JTEKT, трех недостатках, затрагивающих устройства американского поставщика Phoenix Contact, и одном дефекте, затрагивающем продукты немецкой фирмы Siemens.
Рекомендации ICSA-22-172-02 для ДЖТЕКТ ТОЙОПУК детализирует отсутствующие недостатки аутентификации и повышения привилегий. Они имеют рейтинг серьезности 7-2 из 10.
Недостатки, влияющие на устройства Phoenix, подробно описаны в бюллетенях ICSA-22-172-03 для Контроллеры Phoenix Contact Classic Line; ИКСА-22-172-04 для Phoenix Contact ProConOS и MULTIPROG; и ICSA-22-172-05: Промышленные контроллеры Phoenix Contact Classic Line.
Программное обеспечение Siemens с критическими уязвимостями подробно описано в бюллетене ICSA-22-172-06 для Siemens WinCC ОА. Это удаленно эксплуатируемая ошибка с оценкой серьезности 9.8 из 10.
«Успешная эксплуатация этой уязвимости может позволить злоумышленнику выдавать себя за других пользователей или использовать протокол клиент-сервер без аутентификации», — отмечает CISA.
Устройства OT должны быть изолированы в сети, но часто это не так, что дает искушенным кибер-злоумышленникам более широкую территорию для проникновения.
56 уязвимостей, выявленных Forescount, подразделяются на четыре основные категории, включая незащищенные инженерные протоколы, слабую криптографию или нарушенные схемы аутентификации, небезопасные обновления прошивки и удаленное выполнение кода с помощью собственных функций.
Фирма опубликовала уязвимости (CVE) в виде набора, чтобы проиллюстрировать, что недостатки в поставке оборудования критической инфраструктуры являются распространенной проблемой.
«С помощью OT:ICEFALL мы хотели раскрыть и предоставить количественный обзор уязвимостей OT, небезопасных по замыслу, а не полагаться на периодические всплески CVE для одного продукта или небольшой набор общедоступных реальных инцидентов, которые часто отмахивались от вины конкретного поставщика или владельца активов». Предсказатель сказал.
«Цель состоит в том, чтобы проиллюстрировать, как непрозрачный и проприетарный характер этих систем, неоптимальное управление уязвимостями, окружающее их, и часто ложное чувство безопасности, предлагаемое сертификатами, значительно усложняют усилия по управлению рисками OT», — говорится в сообщении.
Как фирма подробности в блоге, есть несколько распространенных ошибок, о которых следует знать разработчикам: