CISA opozarja na pomanjkljivosti programske opreme v industrijskih nadzornih sistemih

Agencija ZDA za kibernetsko varnost in infrastrukturo (CISA) je opozorila organizacije, naj preverijo nedavno razkrite ranljivosti, ki vplivajo na naprave operativne tehnologije (OT), ki bi morale, a niso vedno izolirane od interneta. 

CISA ima objavljenih izdanih petih nasvetov pokriva več ranljivosti, ki vplivajo na industrijske nadzorne sisteme, ki so jih odkrili raziskovalci pri Forescoutu. 

Forescout je ta teden izdal svoje poročilo "OT:ICEFALL", ki zajema vrsto pogostih varnostnih težav v programski opremi za naprave operativne tehnologije (OT). Napake, ki so jih razkrili, vplivajo na naprave proizvajalcev Honeywell, Motorola, Siemens in drugih. 

OT je podmnožica interneta stvari (IoT). OT zajema industrijske nadzorne sisteme (ICS), ki so lahko povezani z internetom, medtem ko širša kategorija IoT vključuje potrošniške predmete, kot so televizorji, zvonci in usmerjevalniki. 

Forescout je podrobno opisal 56 ranljivosti v enem poročilu poudariti te pogoste težave.

CISA je objavila pet ustreznih nasvetov o sistemih industrijskega nadzora (ICSA), za katere je dejala, da zagotavljajo obvestilo o prijavljenih ranljivostih in opredeljujejo osnovne ublažitve za zmanjšanje tveganj za te in druge napade na kibernetsko varnost.  

Navodila vključujejo podrobnosti kritičnih napak, ki vplivajo na programsko opremo japonskega JTEKT, tri napake, ki vplivajo na naprave ameriškega prodajalca Phoenix Contact, in eno, ki vpliva na izdelke nemškega podjetja Siemens.  

Nasvet ICSA-22-172-02 za JTEKT TOYOPUC podrobnosti manjkajo napake pri preverjanju pristnosti in stopnjevanju privilegijev. Te imajo oceno resnosti 7-2 od 10.

Napake, ki vplivajo na naprave Phoenix, so podrobno opisane v nasvetih ICSA-22-172-03 za Klasični linijski krmilniki Phoenix Contact; ICSA-22-172-04 za Phoenix Contact ProConOS in MULTIPROG; in ICSA-22-172-05: Industrijski krmilniki klasične linije Phoenix Contact. 

Programska oprema Siemens s kritičnimi ranljivostmi je podrobno opisana v svetovanju ICSA-22-172-06 za Siemens WinCC OA. To je napaka, ki jo je mogoče izkoristiti na daljavo, z oceno resnosti 9.8 od 10. 

"Uspešno izkoriščanje te ranljivosti bi lahko napadalcu omogočilo lažno predstavljanje drugih uporabnikov ali izkoriščanje protokola odjemalec-strežnik, ne da bi bil overjen," ugotavlja CISA.

Naprave OT bi morale imeti zračno režo v omrežju, vendar pogosto niso, kar daje sofisticiranim kibernetskim napadalcem širši prostor za prodor.  

56 ranljivosti, ki jih je odkril Forescount, so spadale v štiri glavne kategorije, vključno z nevarnimi inženirskimi protokoli, šibko kriptografijo ali pokvarjenimi shemami za preverjanje pristnosti, nevarnimi posodobitvami vdelane programske opreme in oddaljenim izvajanjem kode prek izvorne funkcionalnosti. 

Podjetje je objavilo ranljivosti (CVE) kot zbirko, ki ponazarja, da so napake pri dobavi strojne opreme kritične infrastrukture pogosta težava.  

»Z OT:ICEFALL smo želeli razkriti in zagotoviti kvantitativni pregled ranljivosti OT, ki niso varne po zasnovi, namesto da bi se zanašali na občasne izbruhe CVE za posamezen izdelek ali majhen nabor javnih incidentov v resničnem svetu, ki so pogosto odkrito, da je kriv določen prodajalec ali lastnik sredstva,« Forescout je rekel. 

"Cilj je ponazoriti, kako nepregledna in lastniška narava teh sistemov, neoptimalno upravljanje ranljivosti, ki jih obdaja, in pogosto napačen občutek varnosti, ki ga ponujajo certifikati, znatno otežujejo prizadevanja za obvladovanje tveganja OT," je dejal.

 Kot trdno podrobnosti v objavi v bloguobstaja nekaj pogostih napak, ki bi se jih morali razvijalci zavedati:

• Ranljivosti, ki niso varne po zasnovi, je na pretek: Več kot tretjina ranljivosti, ki jih je našel (38 %), omogoča ogrožanje poverilnic, pri čemer je manipulacija vdelane programske opreme na drugem mestu (21 %) in oddaljeno izvajanje kode na tretjem mestu (14 %). 
• Ranljivi izdelki so pogosto certificirani: 74 % prizadetih družin izdelkov ima določeno obliko varnostnega certifikata in večino težav, na katere opozarja, je treba odkriti relativno hitro med poglobljenim odkrivanjem ranljivosti. Dejavniki, ki prispevajo k tej težavi, vključujejo omejen obseg ocenjevanja, nepregledne varnostne definicije in osredotočenost na funkcionalno testiranje.
• Obvladovanje tveganja je zapleteno zaradi pomanjkanja CVE: Ni dovolj vedeti, da naprava ali protokol ni varen. Za sprejemanje premišljenih odločitev o obvladovanju tveganja morajo lastniki sredstev vedeti, zakaj so te komponente nezanesljive. Težave, za katere velja, da so posledica negotovosti po zasnovi, niso vedno bile dodeljene CVE, zato so pogosto manj vidne in jih je mogoče ukrepati, kot bi morale biti.
• Obstajajo nezanesljive komponente dobavne verige: Ranljivosti v komponentah dobavne verige OT običajno ne poročajo vsi prizadeti proizvajalci, kar prispeva k težavam pri obvladovanju tveganja.
• Niso vsi nevarni modeli ustvarjeni enaki: Noben od analiziranih sistemov ne podpira logičnega podpisovanja in večina (52 %) svojo logiko prevede v izvorno strojno kodo. 62 % teh sistemov sprejema prenos vdelane programske opreme prek Etherneta, medtem ko jih ima samo 51 % avtentikacijo za to funkcijo.
• Napadljive zmogljivosti je bolj izvedljivo razviti, kot si pogosto predstavljamo: Povratni inženiring enega samega lastniškega protokola je trajal od 1 dneva do 2 tednov, medtem ko je doseganje enakega za kompleksne sisteme z več protokoli trajalo 5 do 6 mesecev.