Nagbabala ang US Cybersecurity and Infrastructure Agency (CISA) sa mga organisasyon na suriin ang kamakailang ibinunyag na mga kahinaan na nakakaapekto sa mga operational technology (OT) na device na dapat ngunit hindi palaging nakahiwalay sa internet.
Mayroon ang CISA naglabas ng limang advisory sumasaklaw sa maraming mga kahinaan na nakakaapekto sa mga sistema ng kontrol sa industriya na natuklasan ng mga mananaliksik sa Forescout.
Inilabas ng Forescout ngayong linggo ang ulat nitong "OT:ICEFALL", na sumasaklaw sa isang hanay ng mga karaniwang isyu sa seguridad sa software para sa mga operational technology (OT) na device. Ang mga bug na kanilang isiniwalat ay nakakaapekto sa mga device mula sa Honeywell, Motorola, Siemens at iba pa.
Ang OT ay isang subset ng Internet of Things (IoT). Sinasaklaw ng OT ang mga industrial control system (ICS) na maaaring konektado sa internet habang ang mas malawak na kategorya ng IoT ay kinabibilangan ng mga consumer item tulad ng mga TV, doorbell, at router.
Idinetalye ng Forescout ang 56 na mga kahinaan sa isang ulat upang i-highlight ang mga karaniwang problemang ito.
Ang CISA ay naglabas ng limang kaukulang Industrial Controls Systems Advisories (ICSAs) na sinabi nitong nagbibigay ng abiso sa mga naiulat na kahinaan at tumukoy ng baseline mitigations para sa pagbabawas ng mga panganib sa mga ito at sa iba pang pag-atake sa cybersecurity.
Kasama sa mga advisory ang mga detalye ng mga kritikal na depekto na nakakaapekto sa software mula sa JTEKT ng Japan, tatlong depekto na nakakaapekto sa mga device mula sa vendor ng US na Phoenix Contact, at isa na nakakaapekto sa mga produkto mula sa German firm na Siemens.
Ang ICSA-22-172-02 advisory para sa JTEKT TOYOPUC mga detalyeng nawawala ang pagpapatotoo at mga depekto sa pagdami ng pribilehiyo. Ang mga ito ay may kalubhaan na rating na 7-2 sa 10.
Ang mga bahid na nakakaapekto sa mga aparatong Phoenix ay nakadetalye sa mga advisory na ICSA-22-172-03 para sa Phoenix Contact Classic Line Controllers; ICSA-22-172-04 para sa Phoenix Contact ProConOS at MULTIPROG; at ICSA-22-172-05 : Phoenix Contact Classic Line Industrial Controllers.
Ang software ng Siemens na may mga kritikal na kahinaan ay nakadetalye sa advisory na ICSA-22-172-06 para sa Siemens WinCC OA. Isa itong malayuang mapagsamantalang bug na may kalubhaan na marka na 9.8 sa 10.
"Ang matagumpay na pagsasamantala sa kahinaang ito ay maaaring magpapahintulot sa isang umaatake na magpanggap bilang ibang mga user o pagsamantalahan ang protocol ng client-server nang hindi naa-authenticate," ang mga tala ng CISA.
Ang mga OT device ay dapat na naka-air-gapped sa isang network ngunit kadalasan ay hindi sila, na nagbibigay sa mga sopistikadong cyber attackers ng mas malawak na canvass upang makapasok.
Ang 56 na mga kahinaan na tinukoy ng Forescount ay nahulog sa apat na pangunahing kategorya, kabilang ang mga hindi secure na protocol ng engineering, mahinang cryptography o mga sirang authentication scheme, hindi secure na mga update sa firmware, at remote code execution sa pamamagitan ng native functionality.
Inilathala ng kompanya ang mga kahinaan (vulnerabilities (CVEs)) bilang isang koleksyon upang ilarawan na ang mga bahid sa supply ng kritikal na hardware sa imprastraktura ay isang pangkaraniwang problema.
“Gamit ang OT:ICEFALL, gusto naming ibunyag at magbigay ng quantitative overview ng OT insecure-by-design na mga kahinaan sa halip na umasa sa mga panaka-nakang pagsabog ng mga CVE para sa isang produkto o isang maliit na hanay ng mga pampublikong pangyayari sa totoong mundo na madalas inalis bilang isang partikular na vendor o may-ari ng asset na may kasalanan," Sabi ni Forescout.
"Ang layunin ay upang ilarawan kung paano ang opaque at pagmamay-ari ng mga system na ito, ang suboptimal na pamamahala ng kahinaan na nakapaligid sa kanila at ang madalas na maling kahulugan ng seguridad na inaalok ng mga sertipikasyon ay makabuluhang nagpapalubha sa mga pagsisikap sa pamamahala ng panganib sa OT," sabi nito.
Bilang matatag mga detalye sa isang blogpost, may ilang karaniwang pagkakamali na dapat malaman ng mga developer: