CISA เตือนถึงข้อบกพร่องของซอฟต์แวร์ในระบบควบคุมอุตสาหกรรม

สำนักงานความปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์แห่งสหรัฐอเมริกา (CISA) ได้เตือนองค์กรให้ตรวจสอบช่องโหว่ที่เปิดเผยเมื่อเร็วๆ นี้ซึ่งส่งผลต่ออุปกรณ์เทคโนโลยีปฏิบัติการ (OT) ที่ควรแต่ไม่ได้แยกออกจากอินเทอร์เน็ตเสมอไป 

CISA มี ออกห้าคำแนะนำ ครอบคลุมช่องโหว่หลายประการที่ส่งผลต่อระบบควบคุมอุตสาหกรรมที่ค้นพบโดยนักวิจัยที่ Forescout 

Forescout ในสัปดาห์นี้ได้เผยแพร่รายงาน “OT:ICEFALL” ซึ่งครอบคลุมปัญหาด้านความปลอดภัยทั่วไปในซอฟต์แวร์สำหรับอุปกรณ์เทคโนโลยีปฏิบัติการ (OT) ข้อบกพร่องที่พวกเขาเปิดเผยส่งผลกระทบต่ออุปกรณ์จาก Honeywell, Motorola, Siemens และอื่น ๆ 

OT เป็นส่วนย่อยของ Internet of Things (IoT) OT ครอบคลุมระบบควบคุมอุตสาหกรรม (ICS) ที่อาจเชื่อมต่อกับอินเทอร์เน็ต ในขณะที่หมวดหมู่ IoT ที่กว้างขึ้นนั้นรวมถึงสินค้าอุปโภคบริโภค เช่น ทีวี กริ่งประตู และเราเตอร์ 

นักสำรวจให้รายละเอียด 56 จุดอ่อนในรายงานฉบับเดียว เพื่อเน้นปัญหาทั่วไปเหล่านี้

CISA ได้เปิดตัว Industrial Controls Systems Advisories (ICSAs) ที่เกี่ยวข้องกัน XNUMX ฉบับ ซึ่งระบุว่าจะแจ้งให้ทราบถึงช่องโหว่ที่รายงานและระบุการบรรเทาผลกระทบพื้นฐานสำหรับการลดความเสี่ยงต่อการโจมตีเหล่านี้และการโจมตีความปลอดภัยทางไซเบอร์อื่นๆ  

คำแนะนำดังกล่าวรวมถึงรายละเอียดของข้อบกพร่องร้ายแรงที่ส่งผลต่อซอฟต์แวร์จาก JTEKT ของญี่ปุ่น ข้อบกพร่อง XNUMX ประการที่ส่งผลต่ออุปกรณ์จาก Phoenix Contact ผู้จำหน่ายในสหรัฐฯ และ XNUMX รายการเกี่ยวกับผลิตภัณฑ์จากบริษัท Siemens ของเยอรมนี  

คำแนะนำของ ICSA-22-172-02 สำหรับ เจเทค โตโยปุค รายละเอียดขาดการตรวจสอบสิทธิ์และข้อบกพร่องในการยกระดับสิทธิ์ มีระดับความรุนแรง 7-2 จาก 10

ข้อบกพร่องที่ส่งผลต่ออุปกรณ์ Phoenix มีรายละเอียดอยู่ในคำแนะนำ ICSA-22-172-03 สำหรับ Phoenix Contact ตัวควบคุมสายแบบคลาสสิก; ICSA-22-172-04 สำหรับ Phoenix Contact ProConOS และ MULTIPROG; และ ICSA-22-172-05 : ตัวควบคุมอุตสาหกรรม Phoenix Contact Classic Line. 

ซอฟต์แวร์ซีเมนส์ที่มีช่องโหว่ที่สำคัญมีรายละเอียดอยู่ในคำแนะนำ ICSA-22-172-06 สำหรับ ซีเมนส์ WinCC OA. เป็นข้อบกพร่องที่สามารถหาประโยชน์ได้จากระยะไกลด้วยคะแนนความรุนแรง 9.8 จาก 10 

“การใช้ประโยชน์จากช่องโหว่นี้อย่างประสบความสำเร็จอาจทำให้ผู้โจมตีปลอมแปลงเป็นผู้ใช้รายอื่นหรือใช้ประโยชน์จากโปรโตคอลไคลเอนต์ - เซิร์ฟเวอร์โดยไม่ต้องตรวจสอบสิทธิ์” CISA กล่าว

อุปกรณ์ OT ควรจะมีช่องว่างทางอากาศบนเครือข่าย แต่บ่อยครั้งไม่ได้เป็นเช่นนั้น ทำให้ผู้โจมตีทางไซเบอร์ที่มีความซับซ้อนสามารถสำรวจในวงกว้างขึ้นเพื่อเจาะ  

ช่องโหว่ 56 รายการที่ระบุโดย Forescount แบ่งออกเป็นสี่ประเภทหลัก รวมถึงโปรโตคอลทางวิศวกรรมที่ไม่ปลอดภัย การเข้ารหัสที่อ่อนแอหรือรูปแบบการตรวจสอบสิทธิ์ที่ใช้งานไม่ได้ การอัปเดตเฟิร์มแวร์ที่ไม่ปลอดภัย และการดำเนินการโค้ดจากระยะไกลผ่านฟังก์ชันการทำงานแบบเนทีฟ 

บริษัทเผยแพร่ช่องโหว่ (CVE) เป็นกลุ่มเพื่อแสดงให้เห็นว่าข้อบกพร่องในการจัดหาฮาร์ดแวร์โครงสร้างพื้นฐานที่สำคัญเป็นปัญหาทั่วไป  

“ด้วย OT:ICEFALL เราต้องการเปิดเผยและให้ภาพรวมเชิงปริมาณของช่องโหว่ OT ที่ไม่ปลอดภัยโดยการออกแบบ แทนที่จะพึ่งพา CVE ที่ระเบิดเป็นระยะๆ สำหรับผลิตภัณฑ์ชิ้นเดียวหรือเหตุการณ์สาธารณะกลุ่มเล็กๆ ที่เกิดขึ้นจริงซึ่งบ่อยครั้ง ปัดออกเป็นผู้ขายรายใดรายหนึ่งหรือเจ้าของทรัพย์สินที่เป็นฝ่ายผิด” เสือป่ากล่าวว่า. 

"เป้าหมายคือการแสดงให้เห็นว่าลักษณะทึบและเป็นกรรมสิทธิ์ของระบบเหล่านี้ การจัดการช่องโหว่ที่ด้อยประสิทธิภาพที่อยู่รอบตัวพวกเขา และความรู้สึกด้านความปลอดภัยที่ผิดพลาดบ่อยครั้งที่นำเสนอโดยการรับรองทำให้ความพยายามในการจัดการความเสี่ยง OT ซับซ้อนขึ้นอย่างมาก" กล่าว

 แน่นหนา รายละเอียดในบล็อกโพสต์มีข้อผิดพลาดทั่วไปบางประการที่นักพัฒนาควรทราบ:

• ช่องโหว่ที่ไม่ปลอดภัยโดยการออกแบบมีมากมาย: มากกว่าหนึ่งในสามของช่องโหว่ที่พบ (38%) ยอมให้มีการประนีประนอมข้อมูลประจำตัว โดยมีการจัดการเฟิร์มแวร์ในครั้งที่สอง (21%) และการเรียกใช้โค้ดจากระยะไกลมาเป็นอันดับสาม (14%) 
• สินค้าเสี่ยงมักจะได้รับการรับรอง: 74% ของตระกูลผลิตภัณฑ์ที่ได้รับผลกระทบมีรูปแบบการรับรองความปลอดภัยบางรูปแบบ และปัญหาส่วนใหญ่ที่เตือนควรได้รับการค้นพบอย่างรวดเร็วระหว่างการค้นพบช่องโหว่ในเชิงลึก ปัจจัยที่ทำให้เกิดปัญหานี้ ได้แก่ ขอบเขตที่จำกัดสำหรับการประเมิน คำจำกัดความด้านความปลอดภัยที่ไม่ชัดเจน และการมุ่งเน้นที่การทดสอบการทำงาน
• การบริหารความเสี่ยงมีความซับซ้อนเนื่องจากขาด CVEs: การรู้ว่าอุปกรณ์หรือโปรโตคอลไม่ปลอดภัยไม่เพียงพอ ในการตัดสินใจจัดการความเสี่ยงอย่างชาญฉลาด เจ้าของสินทรัพย์จำเป็นต้องรู้ว่าองค์ประกอบเหล่านี้ไม่ปลอดภัยอย่างไร ปัญหาที่พิจารณาถึงผลลัพธ์ของความไม่มั่นคงจากการออกแบบนั้นไม่ได้ถูกกำหนด CVE เสมอไป ดังนั้นปัญหาเหล่านี้จึงมักจะมองเห็นได้น้อยลงและดำเนินการได้น้อยกว่าที่ควรจะเป็น
• มีส่วนประกอบของห่วงโซ่อุปทานที่ไม่ปลอดภัยโดยการออกแบบ: ผู้ผลิตที่ได้รับผลกระทบทุกรายมักไม่รายงานช่องโหว่ในส่วนประกอบของห่วงโซ่อุปทาน OT ซึ่งทำให้เกิดปัญหาในการจัดการความเสี่ยง
• การออกแบบที่ไม่ปลอดภัยทั้งหมดไม่ได้ถูกสร้างขึ้นมาเท่ากัน: ไม่มีระบบใดวิเคราะห์การเซ็นชื่อลอจิกสนับสนุน และส่วนใหญ่ (52%) รวบรวมตรรกะของตนไปยังโค้ดเครื่องเนทีฟ 62% ของระบบเหล่านั้นยอมรับการดาวน์โหลดเฟิร์มแวร์ผ่านอีเทอร์เน็ต ในขณะที่มีเพียง 51% เท่านั้นที่มีการตรวจสอบสิทธิ์สำหรับฟังก์ชันนี้
• ความสามารถในการโจมตีมีความเป็นไปได้ที่จะพัฒนามากกว่าที่คิดไว้: การทำวิศวกรรมย้อนกลับโดยใช้โปรโตคอลที่เป็นเอกสิทธิ์เพียงรายการเดียวใช้เวลาระหว่าง 1 วันถึง 2 สัปดาห์ ในขณะที่ระบบหลายโปรโตคอลที่ซับซ้อนและซับซ้อนได้สำเร็จนั้นใช้เวลา 5 ถึง 6 เดือน