Nagbabala ang CISA sa mga bahid ng software sa mga sistema ng kontrol sa industriya

Nagbabala ang US Cybersecurity and Infrastructure Agency (CISA) sa mga organisasyon na suriin ang kamakailang ibinunyag na mga kahinaan na nakakaapekto sa mga operational technology (OT) na device na dapat ngunit hindi palaging nakahiwalay sa internet. 

Mayroon ang CISA naglabas ng limang advisory sumasaklaw sa maraming mga kahinaan na nakakaapekto sa mga sistema ng kontrol sa industriya na natuklasan ng mga mananaliksik sa Forescout. 

Inilabas ng Forescout ngayong linggo ang ulat nitong "OT:ICEFALL", na sumasaklaw sa isang hanay ng mga karaniwang isyu sa seguridad sa software para sa mga operational technology (OT) na device. Ang mga bug na kanilang isiniwalat ay nakakaapekto sa mga device mula sa Honeywell, Motorola, Siemens at iba pa. 

Ang OT ay isang subset ng Internet of Things (IoT). Sinasaklaw ng OT ang mga industrial control system (ICS) na maaaring konektado sa internet habang ang mas malawak na kategorya ng IoT ay kinabibilangan ng mga consumer item tulad ng mga TV, doorbell, at router. 

Idinetalye ng Forescout ang 56 na mga kahinaan sa isang ulat upang i-highlight ang mga karaniwang problemang ito.

Ang CISA ay naglabas ng limang kaukulang Industrial Controls Systems Advisories (ICSAs) na sinabi nitong nagbibigay ng abiso sa mga naiulat na kahinaan at tumukoy ng baseline mitigations para sa pagbabawas ng mga panganib sa mga ito at sa iba pang pag-atake sa cybersecurity.  

Kasama sa mga advisory ang mga detalye ng mga kritikal na depekto na nakakaapekto sa software mula sa JTEKT ng Japan, tatlong depekto na nakakaapekto sa mga device mula sa vendor ng US na Phoenix Contact, at isa na nakakaapekto sa mga produkto mula sa German firm na Siemens.  

Ang ICSA-22-172-02 advisory para sa JTEKT TOYOPUC mga detalyeng nawawala ang pagpapatotoo at mga depekto sa pagdami ng pribilehiyo. Ang mga ito ay may kalubhaan na rating na 7-2 sa 10.

Ang mga bahid na nakakaapekto sa mga aparatong Phoenix ay nakadetalye sa mga advisory na ICSA-22-172-03 para sa Phoenix Contact Classic Line Controllers; ICSA-22-172-04 para sa Phoenix Contact ProConOS at MULTIPROG; at ICSA-22-172-05 : Phoenix Contact Classic Line Industrial Controllers. 

Ang software ng Siemens na may mga kritikal na kahinaan ay nakadetalye sa advisory na ICSA-22-172-06 para sa Siemens WinCC OA. Isa itong malayuang mapagsamantalang bug na may kalubhaan na marka na 9.8 sa 10. 

"Ang matagumpay na pagsasamantala sa kahinaang ito ay maaaring magpapahintulot sa isang umaatake na magpanggap bilang ibang mga user o pagsamantalahan ang protocol ng client-server nang hindi naa-authenticate," ang mga tala ng CISA.

Ang mga OT device ay dapat na naka-air-gapped sa isang network ngunit kadalasan ay hindi sila, na nagbibigay sa mga sopistikadong cyber attackers ng mas malawak na canvass upang makapasok.  

Ang 56 na mga kahinaan na tinukoy ng Forescount ay nahulog sa apat na pangunahing kategorya, kabilang ang mga hindi secure na protocol ng engineering, mahinang cryptography o mga sirang authentication scheme, hindi secure na mga update sa firmware, at remote code execution sa pamamagitan ng native functionality. 

Inilathala ng kompanya ang mga kahinaan (vulnerabilities (CVEs)) bilang isang koleksyon upang ilarawan na ang mga bahid sa supply ng kritikal na hardware sa imprastraktura ay isang pangkaraniwang problema.  

“Gamit ang OT:ICEFALL, gusto naming ibunyag at magbigay ng quantitative overview ng OT insecure-by-design na mga kahinaan sa halip na umasa sa mga panaka-nakang pagsabog ng mga CVE para sa isang produkto o isang maliit na hanay ng mga pampublikong pangyayari sa totoong mundo na madalas inalis bilang isang partikular na vendor o may-ari ng asset na may kasalanan," Sabi ni Forescout. 

"Ang layunin ay upang ilarawan kung paano ang opaque at pagmamay-ari ng mga system na ito, ang suboptimal na pamamahala ng kahinaan na nakapaligid sa kanila at ang madalas na maling kahulugan ng seguridad na inaalok ng mga sertipikasyon ay makabuluhang nagpapalubha sa mga pagsisikap sa pamamahala ng panganib sa OT," sabi nito.

 Bilang matatag mga detalye sa isang blogpost, may ilang karaniwang pagkakamali na dapat malaman ng mga developer:

• Napakaraming mga kahinaan sa hindi secure na disenyo: Mahigit sa isang-katlo ng mga kahinaan na natagpuan nito (38%) ay nagbibigay-daan para sa kompromiso ng mga kredensyal, kung saan ang pagmamanipula ng firmware ay pumapangalawa (21%) at ang remote code execution ay pumangatlo (14%). 
• Kadalasang na-certify ang mga produktong masusugatan: 74% ng mga pamilya ng produkto na apektado ay may ilang uri ng sertipikasyon sa seguridad at karamihan sa mga isyung binabalaan nito ay dapat na matuklasan nang medyo mabilis sa panahon ng malalim na pagtuklas ng kahinaan. Kasama sa mga salik na nag-aambag sa problemang ito ang limitadong saklaw para sa mga pagsusuri, hindi malinaw na mga kahulugan ng seguridad at pagtuon sa functional na pagsubok.
• Ang pamamahala sa peligro ay kumplikado dahil sa kakulangan ng mga CVE: Hindi sapat na malaman na ang isang device o protocol ay hindi secure. Upang makagawa ng matalinong mga desisyon sa pamamahala sa peligro, kailangang malaman ng mga may-ari ng asset kung paano hindi secure ang mga bahaging ito. Ang mga isyu na itinuturing na resulta ng kawalan ng kapanatagan sa pamamagitan ng disenyo ay hindi palaging naitatalaga ng mga CVE, kaya madalas ang mga ito ay nananatiling hindi gaanong nakikita at naaaksyunan kaysa sa nararapat.
• May mga hindi secure na bahagi ng supply chain: Ang mga kahinaan sa mga bahagi ng supply chain ng OT ay malamang na hindi naiulat ng bawat apektadong tagagawa, na nag-aambag sa mga kahirapan sa pamamahala ng panganib.
• Hindi lahat ng hindi secure na disenyo ay nilikhang pantay: Wala sa mga system na nasuri ang suporta sa logic signing at karamihan (52%) ay nag-compile ng kanilang logic sa native machine code. 62% ng mga system na iyon ang tumatanggap ng mga pag-download ng firmware sa pamamagitan ng Ethernet, habang 51% lang ang may authentication para sa functionality na ito.
• Ang mga nakakasakit na kakayahan ay mas magagawa kaysa sa madalas na naiisip: Reverse engineering ang isang proprietary protocol ay tumagal sa pagitan ng 1 araw at 2 linggo, habang ang pagkamit ng pareho para sa kumplikado, multi-protocol system ay tumagal ng 5 hanggang 6 na buwan.