美国网络安全和基础设施局 (CISA) 警告各组织检查最近披露的影响操作技术 (OT) 设备的漏洞,这些设备应该但并不总是与互联网隔离。
CISA有 发布五项建议 涵盖 Forescout 研究人员发现的影响工业控制系统的多个漏洞。
Forescout 本周发布了报告“OT:ICEFALL”,其中涵盖了操作技术 (OT) 设备软件中的一系列常见安全问题。他们披露的漏洞影响了霍尼韦尔、摩托罗拉、西门子等公司的设备。
OT 是物联网 (IoT) 的子集。 OT 涵盖可能连接到互联网的工业控制系统 (ICS),而更广泛的 IoT 类别包括电视、门铃和路由器等消费品。
Forescout详细介绍了 一份报告中包含 56 个漏洞 来突出这些常见问题。
CISA 发布了五个相应的工业控制系统公告 (ICSA),据称这些公告提供了已报告漏洞的通知,并确定了降低这些和其他网络安全攻击风险的基准缓解措施。
这些通报包括影响日本捷太格特软件的严重缺陷、影响美国供应商菲尼克斯电气设备的三个缺陷以及影响德国西门子公司产品的一个缺陷的详细信息。
ICSA-22-172-02 咨询 捷太格特东洋浦 详细说明了缺少身份验证和权限升级的缺陷。这些问题的严重程度为 7-2(满分 10)。
影响 Phoenix 设备的缺陷在建议 ICSA-22-172-03 中有详细说明: 菲尼克斯电气经典线路控制器; ICSA-22-172-04 用于 Phoenix Contact ProConOS 和 MULTIPROG;和 ICSA-22-172-05: Phoenix Contact Classic Line 工业控制器.
具有严重漏洞的西门子软件在 ICSA-22-172-06 公告中详细介绍: 西门子WinCC OA。这是一个可远程利用的错误,严重程度为 9.8 分(满分 10 分)。
CISA 指出:“成功利用此漏洞可能会让攻击者在未经身份验证的情况下冒充其他用户或利用客户端-服务器协议。”
OT 设备在网络上应该是气隙的,但通常情况并非如此,这为老练的网络攻击者提供了更广泛的渗透范围。
Forescount 发现的 56 个漏洞分为四个主要类别,包括不安全的工程协议、弱加密或损坏的身份验证方案、不安全的固件更新以及通过本机功能进行远程代码执行。
该公司将漏洞 (CVE) 作为集合发布,以说明关键基础设施硬件供应中的缺陷是一个常见问题。
“通过 OT:ICEFALL,我们希望披露并提供 OT 设计不安全漏洞的定量概述,而不是依赖于单个产品或一小组公共、现实世界事件的定期爆发的 CVE,而这些事件通常是因特定供应商或资产所有者有过错而被忽视” 前锋说.
“我们的目标是说明这些系统的不透明和专有性质、围绕它们的次优漏洞管理以及认证提供的经常错误的安全感如何使 OT 风险管理工作变得非常复杂,”它说。
作为坚定 博文中的详细信息,有一些常见的故障是开发者应该注意的: