สำนักงานความปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์แห่งสหรัฐอเมริกา (CISA) ได้เตือนองค์กรให้ตรวจสอบช่องโหว่ที่เปิดเผยเมื่อเร็วๆ นี้ซึ่งส่งผลต่ออุปกรณ์เทคโนโลยีปฏิบัติการ (OT) ที่ควรแต่ไม่ได้แยกออกจากอินเทอร์เน็ตเสมอไป
CISA มี ออกห้าคำแนะนำ ครอบคลุมช่องโหว่หลายประการที่ส่งผลต่อระบบควบคุมอุตสาหกรรมที่ค้นพบโดยนักวิจัยที่ Forescout
Forescout ในสัปดาห์นี้ได้เผยแพร่รายงาน “OT:ICEFALL” ซึ่งครอบคลุมปัญหาด้านความปลอดภัยทั่วไปในซอฟต์แวร์สำหรับอุปกรณ์เทคโนโลยีปฏิบัติการ (OT) ข้อบกพร่องที่พวกเขาเปิดเผยส่งผลกระทบต่ออุปกรณ์จาก Honeywell, Motorola, Siemens และอื่น ๆ
OT เป็นส่วนย่อยของ Internet of Things (IoT) OT ครอบคลุมระบบควบคุมอุตสาหกรรม (ICS) ที่อาจเชื่อมต่อกับอินเทอร์เน็ต ในขณะที่หมวดหมู่ IoT ที่กว้างขึ้นนั้นรวมถึงสินค้าอุปโภคบริโภค เช่น ทีวี กริ่งประตู และเราเตอร์
นักสำรวจให้รายละเอียด 56 จุดอ่อนในรายงานฉบับเดียว เพื่อเน้นปัญหาทั่วไปเหล่านี้
CISA ได้เปิดตัว Industrial Controls Systems Advisories (ICSAs) ที่เกี่ยวข้องกัน XNUMX ฉบับ ซึ่งระบุว่าจะแจ้งให้ทราบถึงช่องโหว่ที่รายงานและระบุการบรรเทาผลกระทบพื้นฐานสำหรับการลดความเสี่ยงต่อการโจมตีเหล่านี้และการโจมตีความปลอดภัยทางไซเบอร์อื่นๆ
คำแนะนำดังกล่าวรวมถึงรายละเอียดของข้อบกพร่องร้ายแรงที่ส่งผลต่อซอฟต์แวร์จาก JTEKT ของญี่ปุ่น ข้อบกพร่อง XNUMX ประการที่ส่งผลต่ออุปกรณ์จาก Phoenix Contact ผู้จำหน่ายในสหรัฐฯ และ XNUMX รายการเกี่ยวกับผลิตภัณฑ์จากบริษัท Siemens ของเยอรมนี
คำแนะนำของ ICSA-22-172-02 สำหรับ เจเทค โตโยปุค รายละเอียดขาดการตรวจสอบสิทธิ์และข้อบกพร่องในการยกระดับสิทธิ์ มีระดับความรุนแรง 7-2 จาก 10
ข้อบกพร่องที่ส่งผลต่ออุปกรณ์ Phoenix มีรายละเอียดอยู่ในคำแนะนำ ICSA-22-172-03 สำหรับ Phoenix Contact ตัวควบคุมสายแบบคลาสสิก; ICSA-22-172-04 สำหรับ Phoenix Contact ProConOS และ MULTIPROG; และ ICSA-22-172-05 : ตัวควบคุมอุตสาหกรรม Phoenix Contact Classic Line.
ซอฟต์แวร์ซีเมนส์ที่มีช่องโหว่ที่สำคัญมีรายละเอียดอยู่ในคำแนะนำ ICSA-22-172-06 สำหรับ ซีเมนส์ WinCC OA. เป็นข้อบกพร่องที่สามารถหาประโยชน์ได้จากระยะไกลด้วยคะแนนความรุนแรง 9.8 จาก 10
“การใช้ประโยชน์จากช่องโหว่นี้อย่างประสบความสำเร็จอาจทำให้ผู้โจมตีปลอมแปลงเป็นผู้ใช้รายอื่นหรือใช้ประโยชน์จากโปรโตคอลไคลเอนต์ - เซิร์ฟเวอร์โดยไม่ต้องตรวจสอบสิทธิ์” CISA กล่าว
อุปกรณ์ OT ควรจะมีช่องว่างทางอากาศบนเครือข่าย แต่บ่อยครั้งไม่ได้เป็นเช่นนั้น ทำให้ผู้โจมตีทางไซเบอร์ที่มีความซับซ้อนสามารถสำรวจในวงกว้างขึ้นเพื่อเจาะ
ช่องโหว่ 56 รายการที่ระบุโดย Forescount แบ่งออกเป็นสี่ประเภทหลัก รวมถึงโปรโตคอลทางวิศวกรรมที่ไม่ปลอดภัย การเข้ารหัสที่อ่อนแอหรือรูปแบบการตรวจสอบสิทธิ์ที่ใช้งานไม่ได้ การอัปเดตเฟิร์มแวร์ที่ไม่ปลอดภัย และการดำเนินการโค้ดจากระยะไกลผ่านฟังก์ชันการทำงานแบบเนทีฟ
บริษัทเผยแพร่ช่องโหว่ (CVE) เป็นกลุ่มเพื่อแสดงให้เห็นว่าข้อบกพร่องในการจัดหาฮาร์ดแวร์โครงสร้างพื้นฐานที่สำคัญเป็นปัญหาทั่วไป
“ด้วย OT:ICEFALL เราต้องการเปิดเผยและให้ภาพรวมเชิงปริมาณของช่องโหว่ OT ที่ไม่ปลอดภัยโดยการออกแบบ แทนที่จะพึ่งพา CVE ที่ระเบิดเป็นระยะๆ สำหรับผลิตภัณฑ์ชิ้นเดียวหรือเหตุการณ์สาธารณะกลุ่มเล็กๆ ที่เกิดขึ้นจริงซึ่งบ่อยครั้ง ปัดออกเป็นผู้ขายรายใดรายหนึ่งหรือเจ้าของทรัพย์สินที่เป็นฝ่ายผิด” เสือป่ากล่าวว่า.
"เป้าหมายคือการแสดงให้เห็นว่าลักษณะทึบและเป็นกรรมสิทธิ์ของระบบเหล่านี้ การจัดการช่องโหว่ที่ด้อยประสิทธิภาพที่อยู่รอบตัวพวกเขา และความรู้สึกด้านความปลอดภัยที่ผิดพลาดบ่อยครั้งที่นำเสนอโดยการรับรองทำให้ความพยายามในการจัดการความเสี่ยง OT ซับซ้อนขึ้นอย่างมาก" กล่าว
แน่นหนา รายละเอียดในบล็อกโพสต์มีข้อผิดพลาดทั่วไปบางประการที่นักพัฒนาควรทราบ: