Endüstriyel tesislerdeki yeni kritik kusurlar hakkında uyarı • Kayıt

güncellenmiş Özel güvenlik araştırmacılarına göre, Honeywell, Ericsson, Motorola ve Siemens dahil olmak üzere on küresel üreticinin Endüstriyel Operasyonel Teknoloji (OT) sistemlerinde, dünya çapında 30.000’den fazla cihazı etkileyen 56 güvenlik açığı bulundu – bazıları kritik olarak sınıflandırıldı.

Bu güvenlik açıklarından bazıları, 10 üzerinden 9,8 gibi yüksek CVSS önem dereceleri aldı. Bu cihazların petrol ve gaz, kimya, nükleer, enerji üretimi ve dağıtımı, imalat, su arıtma vb. ve dağıtım gibi kritik altyapılarda kullanıldığı düşünüldüğünde, bu özellikle kötü. madencilik ve inşaat ve otomasyon endüstrileri.

En ciddi güvenlik açıkları, Uzaktan Kod Yürütme (RCE) ve bellenim güvenlik açıklarını içerir. Bu deliklerden yararlanılırsa, potansiyel olarak suçluların elektrik ve su sistemlerini kapatmasına, gıda tedarikini kesintiye uğratmasına, bileşenlerin oranını zehirli karışımlara yol açacak şekilde değiştirmesine ve… Tamam, meseleyi anladınız.

Forescout’un See Labs’ı, güvenlik firmasının müşteri tabanında kullanılan 10 satıcı tarafından üretilen cihazlardaki kusurları keşfettiğini ve topluca OT:ICEFALL olarak adlandırdığını söyledi. Araştırmacılara göre, güvenlik açıkları dünya çapında en az 324 kuruluşu etkiliyor – ve gerçekte, Forescout’un yalnızca kendi müşterilerinin OT cihazlarını görebilmesi nedeniyle bu sayı muhtemelen çok daha fazla.

Araştırmacılar, adı geçen üreticilere ek olarak, Bently Nevada, Emerson, JTEKT, Omron, Phoenix Contact ve Yokogawa’nın ürünlerinde de hata bulduklarını söylediler.

ABD Hükümetinin Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bugüne kadar, bazı cihazlarda çeşitli kritik ve ölümcül kusurlar için bu bildirimleri yayınladı ve bunların kötüye kullanım sonuçları var:

See Labs tarafından bildirilen 56 hatanın çoğu, Katman 1 ve Katman 2 OT cihazlarında meydana gelir. Seviye 1 cihazlar – programlanabilir mantık kontrolörleri (PLC’ler) ve uzak terminal birimleri (RTU’lar) gibi – fiziksel süreçleri kontrol ederken, Seviye 2 cihazlar denetim kontrolü ve veri toplama (SCADA) ve insan-makine arayüz sistemlerini içerir.

See tarafından bugün yayınlanan bir kamu raporunda detaylandırılan yaklaşık üç noktalı hatalara ek olarak, tehdit avı ekibi sorumlu ifşa nedeniyle gizli kalan dört tane daha ortaya çıkardı. Dördünden biri kimlik bilgilerinin tehlikeye atılmasına izin verir, ikisi bir saldırganın OT sistemlerinin donanım yazılımını değiştirmesine izin verir ve sonuncusu bir bellek yazma hatası yoluyla bir RCE’dir.

Forescout’ta güvenlik araştırması başkanı Daniel dos Santos, bu güvenlik açıklarının birçoğunun OT ürünlerinin sözde “tasarım gereği güvensiz” yapısının sonucu olduğunu söyledi. kayıt defteri. Birkaç OT cihazının temel güvenlik kontrollerinden yoksun olması, saldırganların bunları kullanmasını kolaylaştırıyor, diye açıkladı.

Forescout’un analizi, OT cihazlarına ve protokollerine de bakan ve onları “doğal olarak güvensiz” olarak sınıflandıran Digital Bond’un Project Basecamp’ından on yıl sonra geldi.

Bu önceki analizden bu yana, “2016’da Ukrayna’da Industroyer veya 2017’de Orta Doğu’da Triton gibi, cihazların güvenli olmayan işlevselliğini kesintiye ve fiziksel hasara neden olacak şekilde kötüye kullanan gerçek dünya olayları, gerçek kötü amaçlı yazılımlar oldu” dos Santos’a ait.

Aslında, Forescout tarafından açıklanan bazı güvenlik açıkları, endüstriyel kontrol sistemlerini tehlikeye atmak için zaten hedeflenmiştir. Buna, Omron NJ/NX kontrol cihazlarını etkileyen ve hükümet destekli olduğundan şüphelenilen bir kötü amaçlı yazılım aracı olan Incontroller tarafından hedeflenen bir RCE olan CVE-2022-31206 dahildir.

Dos Santos, “Tasarım gereği güvenli olmayan bir durum, kimliği doğrulanmamış günlüklerdir” dedi. “Aslında, cihazla her etkileşim kurduğunuzda, cihazdaki hassas işlevleri açabilir ve bu işlevlere parola sormadan doğrudan erişebilirsiniz.”

Güvenlik araştırmacıları, kimlik doğrulaması olmayan protokollerle ilgili dokuz güvenlik açığı buldu: CVE-2022-29953, CVE-2022-29957, CVE-2022-29966, CVE-2022-30264, CVE-2022-30313, CVE-2022-30317, CVE- 2022-29952 ve CVE-2022-30276. Bunların çoğu, diğer kişilerin cihazlarında ürün yazılımı ve mantığı indirmek ve çalıştırmak için kullanılabilir, bu da hizmet reddi koşullarına neden olabilecek RCE’lere veya kapatmalara ve yeniden başlatmalara neden olabilir. İdeal olarak, bu protokolleri kullanan makineler, bilgisayarlara ve diğer sistemlere, bir ağ davetsiz misafirinin bunlardan yararlanmasına izin verecek şekilde bağlı değildir.

Kimlik bilgisi uzlaşması en yaygın olanıdır

Bkz. Laboratuvarlar, birden fazla potansiyel etkiye sahip oldukları için hataların beşini birden fazla saydı.

56 güvenlik açığının üçte birinden fazlası (yüzde 38) kullanıcı kimlik bilgilerini tehlikeye atmak için kullanılabilirken, yüzde 21’i, kötüye kullanılması durumunda bir haydutun ürün yazılımını manipüle etmesine izin verebilir ve yüzde 14’ü RCE’dir. Diğer güvenlik açığı türlerinden hizmet reddi ve yapılandırma manipülasyonu yüzde sekiz, kimlik doğrulama atlama güvenlik açıkları yüzde altı, dosya kurcalama hesapları yüzde üç ve mantık kurcalama hesapları yüzde iki.

Araştırmacılar, bu güvenlik sorunlarının yamalanmasının kolay olmayacağını belirledi – çünkü bunlar doğal olarak güvensiz olan OT ürünlerinin sonucuydu ya da cihaz belleniminde ve desteklenen protokollerde değişiklik gerektirdiğinden. “Gerçekçi olarak, bu süreç çok uzun zaman alacak” diye yazdılar.

Bu nedenle, hatalı OT cihazlarının tüm teknik ayrıntılarını açıklamadılar – bu nedenle burada derinlik eksikliği. Ancak, müşterilerin daha fazla ayrıntı için her satıcının güvenlik tavsiyelerini – bugün veya yakında – izlemesini önerdiler. Ayrıca Security Shop, mümkün olduğunda OT ve endüstriyel kontrol sistemi ağlarının kurumsal ağlardan ve İnternet’ten izole edilmesini önerir.

Daha fazla bilgi için CISA’nın Bkz. Raporu ve ICS-CERT Tavsiyeleri. ®

Güncellemek için

Bu hikaye, bugünün CISA tavsiyelerine bağlantılar içerecek şekilde güncellendi.