CISA 对工业控制系统中的软件缺陷发出警告

美国网络安全和基础设施局 (CISA) 警告各组织检查最近披露的影响操作技术 (OT) 设备的漏洞，这些设备应该但并不总是与互联网隔离。 

CISA有 发布五项建议 涵盖 Forescout 研究人员发现的影响工业控制系统的多个漏洞。 

Forescout 本周发布了报告“OT:ICEFALL”，其中涵盖了操作技术 (OT) 设备软件中的一系列常见安全问题。他们披露的漏洞影响了霍尼韦尔、摩托罗拉、西门子等公司的设备。 

OT 是物联网 (IoT) 的子集。 OT 涵盖可能连接到互联网的工业控制系统 (ICS)，而更广泛的 IoT 类别包括电视、门铃和路由器等消费品。 

Forescout详细介绍了 一份报告中包含 56 个漏洞 来突出这些常见问题。

CISA 发布了五个相应的工业控制系统公告 (ICSA)，据称这些公告提供了已报告漏洞的通知，并确定了降低这些和其他网络安全攻击风险的基准缓解措施。  

这些通报包括影响日本捷太格特软件的严重缺陷、影响美国供应商菲尼克斯电气设备的三个缺陷以及影响德国西门子公司产品的一个缺陷的详细信息。  

ICSA-22-172-02 咨询 捷太格特东洋浦 详细说明了缺少身份验证和权限升级的缺陷。这些问题的严重程度为 7-2（满分 10）。

影响 Phoenix 设备的缺陷在建议 ICSA-22-172-03 中有详细说明： 菲尼克斯电气经典线路控制器; ICSA-22-172-04 用于 Phoenix Contact ProConOS 和 MULTIPROG;和 ICSA-22-172-05： Phoenix Contact Classic Line 工业控制器. 

具有严重漏洞的西门子软件在 ICSA-22-172-06 公告中详细介绍： 西门子WinCC OA。这是一个可远程利用的错误，严重程度为 9.8 分（满分 10 分）。 

CISA 指出：“成功利用此漏洞可能会让攻击者在未经身份验证的情况下冒充其他用户或利用客户端-服务器协议。”

OT 设备在网络上应该是气隙的，但通常情况并非如此，这为老练的网络攻击者提供了更广泛的渗透范围。  

Forescount 发现的 56 个漏洞分为四个主要类别，包括不安全的工程协议、弱加密或损坏的身份验证方案、不安全的固件更新以及通过本机功能进行远程代码执行。 

该公司将漏洞 (CVE) 作为集合发布，以说明关键基础设施硬件供应中的缺陷是一个常见问题。  

“通过 OT:ICEFALL，我们希望披露并提供 OT 设计不安全漏洞的定量概述，而不是依赖于单个产品或一小组公共、现实世界事件的定期爆发的 CVE，而这些事件通常是因特定供应商或资产所有者有过错而被忽视” 前锋说. 

“我们的目标是说明这些系统的不透明和专有性质、围绕它们的次优漏洞管理以及认证提供的经常错误的安全感如何使 OT 风险管理工作变得非常复杂，”它说。

 作为坚定 博文中的详细信息，有一些常见的故障是开发者应该注意的：

• 设计不安全的漏洞比比皆是：超过三分之一 (38%) 发现的漏洞允许凭证泄露，其次是固件操纵 (21%)，第三是远程代码执行 (14%)。 
• 易受影响的产品通常经过认证：74% 受影响的产品系列拥有某种形式的安全认证，其警告的大多数问题应该在深入漏洞发现过程中相对较快地发现。造成此问题的因素包括评估范围有限、安全定义不透明以及注重功能测试。
• 缺乏 CVE 使风险管理变得复杂：仅仅知道设备或协议不安全是不够的。为了做出明智的风险管理决策，资产所有者需要了解这些组件为何不安全。被认为是设计上不安全的结果的问题并不总是被分配 CVE，因此它们通常仍然不如应有的可见性和可操作性。
• 存在设计不安全的供应链组件：OT供应链组件中的漏洞往往不会被每个受影响的制造商报告，这增加了风险管理的难度。
• 并非所有不安全的设计都是一样的：所分析的系统都不支持逻辑签名，并且大多数（52％）将其逻辑编译为本机机器代码。其中 62% 的系统接受通过以太网下载固件，而只有 51% 的系统对此功能进行身份验证。
• 发展进攻能力比通常想象的更可行：对单个专有协议进行逆向工程需要 1 天到 2 周的时间，而对复杂的多协议系统实现相同的目标则需要 5 到 6 个月的时间。