Entdeckung von 56 OT -Gerätefehlern, die auf die glatte Sicherheitskultur verantwortlich gemacht wurden

Forscher entdeckten 56 Schwachstellen, die Geräte von 10 Anbietern von Betriebstechnologie (OT) betrafen, von denen die meisten auf inhärente Konstruktionsfehler in Geräten und einen laxen Ansatz für das Sicherheits- und Risikomanagement zurückgeführt wurden, die die Branche seit Jahrzehnten plagen, sagten sie.

Die Sicherheitslücken, die in Geräten von renommierten Anbietern wie Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa sowie einem nicht genannten Hersteller gefunden wurden, unterscheiden sich in Bezug auf ihre Eigenschaften und was sie Angreifern ermöglichen. laut der Forschung von Forescouts Vedere Labs.

Insgesamt sind die „Auswirkungen jeder Schwachstelle jedoch stark abhängig von der Funktionalität, die jedes Gerät bietet“, heißt es a blog post über die am Dienstag veröffentlichten Mängel.

Die Forscher unterteilten die Art von Fehlern, die sie in jedem der Produkte fanden, in vier grundlegende Kategorien: unsichere technische Protokolle; schwache Kryptografie oder fehlerhafte Authentifizierungsschemata; unsichere Firmware-Updates; oder Remote-Code-Ausführung über native Funktionalität.

Zu den Aktivitäten, an denen Angreifer teilnehmen können, indem sie die Fehler auf einem betroffenen Gerät ausnutzen, gehören: Remote Code Execution (RCE), wobei Code in verschiedenen spezialisierten Prozessoren und verschiedenen Kontexten innerhalb eines Prozessors ausgeführt wird; Denial of Service (DoS), der ein Gerät vollständig offline schalten oder den Zugriff auf eine bestimmte Funktion blockieren kann; Datei-/Firmware-/Konfigurationsmanipulation, die es einem Angreifer ermöglicht, wichtige Aspekte eines Geräts zu ändern; Kompromittierung von Anmeldeinformationen, die den Zugriff auf Gerätefunktionen ermöglicht; oder Authentifizierungsumgehung, die es einem Angreifer ermöglicht, die gewünschte Funktionalität auf dem Zielgerät aufzurufen, sagten die Forscher.

Systemisches Problem

Dass die Schwachstellen – die Forscher in Anlehnung an den Mount Everest und die Berggerätehersteller, die in Bezug auf die Sicherheit erklommen werden müssen, gemeinsam OT:ICEFALL genannt haben – in Schlüsselgeräten in Netzwerken vorhanden sind, die kritische Infrastrukturen an und für sich kontrollieren, ist schlimm genug.

Noch schlimmer ist jedoch, dass die Schwachstellen hätten vermieden werden können, da 74 Prozent der von den Schwachstellen betroffenen Produktfamilien über eine Art Sicherheitszertifizierung verfügen und daher vor der Markteinführung überprüft wurden, fanden Forscher heraus. Darüber hinaus hätten die meisten von ihnen „relativ schnell während der gründlichen Entdeckung von Schwachstellen“ entdeckt werden müssen, stellten sie fest.

Diese Freikarte, die OT-Anbieter anfälligen Produkten geben, zeige die anhaltenden glanzlosen Bemühungen der gesamten Branche in Bezug auf Sicherheit und Risikomanagement, etwas, das Forscher hoffen, ändern zu können, indem sie das Problem beleuchten, sagten sie.

„Diese Probleme reichen von anhaltend unsicheren Praktiken in sicherheitszertifizierten Produkten bis hin zu unterdurchschnittlichen Versuchen, sich von ihnen zu entfernen“, schrieben die Forscher in dem Beitrag. „Das Ziel [unserer Forschung] ist es zu veranschaulichen, wie die undurchsichtige und proprietäre Natur dieser Systeme, das suboptimale Schwachstellenmanagement, das sie umgibt, und das oft falsche Sicherheitsgefühl, das durch Zertifizierungen vermittelt wird, die Bemühungen des OT-Risikomanagements erheblich erschweren.“

Sicherheitsparadoxon

Tatsächlich bemerkten Sicherheitsexperten auch das Paradoxon der laxen Sicherheitsstrategie von Anbietern in einem Bereich, der die Systeme herstellt, auf denen kritische Infrastrukturen ausgeführt werden. Attacken die nicht nur für die Netzwerke, in denen die Produkte existieren, sondern für die ganze Welt katastrophal sein kann.

„Man könnte fälschlicherweise annehmen, dass die Geräte der industriellen Steuerungs- und Betriebstechnik, die einige der wichtigsten und sensibelsten Aufgaben in der Industrie erfüllen kritische Infrastruktur Umgebungen würden zu den am stärksten gesicherten Systemen der Welt gehören, aber die Realität ist oft genau das Gegenteil“, bemerkte Chris Clements, Vizepräsident für Lösungsarchitektur bei Cerberus Sentinel, in einer E-Mail an Threatpost.

Tatsächlich haben, wie die Forschung belegt, „zu viele Geräte in diesen Rollen Sicherheitskontrollen, die für Angreifer erschreckend einfach zu umgehen oder zu umgehen sind, um die vollständige Kontrolle über die Geräte zu übernehmen“, sagte er.

Die Ergebnisse der Forscher sind ein weiteres Signal dafür, dass die OT-Branche „eine längst überfällige Cybersicherheitsabrechnung erlebt“, die die Anbieter in erster Linie angehen müssen, indem sie die Sicherheit auf der grundlegendsten Ebene der Produktion integrieren, bevor sie fortfahren, bemerkte Clements.

„Hersteller sensibler Betriebstechnikgeräte müssen eine Kultur der Cybersicherheit einführen, die ganz am Anfang des Designprozesses beginnt, sich aber bis zur Validierung der resultierenden Implementierung im Endprodukt fortsetzt“, sagte er.

Herausforderungen für das Risikomanagement

Die Forscher skizzierten einige der Gründe für die inhärenten Probleme mit dem Sicherheitsdesign und dem Risikomanagement bei OT-Geräten, die sie den Herstellern vorschlagen, schnell zu beheben.

Einer ist der Mangel an Einheitlichkeit in Bezug auf die Funktionalität auf allen Geräten, was bedeutet, dass auch der inhärente Mangel an Sicherheit sehr unterschiedlich ist und die Fehlersuche kompliziert wird, sagten sie. Bei der Untersuchung von drei Hauptpfaden zum Erreichen von RCE auf Level-1-Geräten über native Funktionalität – Logik-Downloads, Firmware-Updates und Speicher-Lese-/Schreibvorgänge – stellten die Forscher beispielsweise fest, dass die einzelnen Technologien diese Pfade unterschiedlich gehandhabt haben.

Keines der analysierten Systeme unterstützt Logiksignaturen, und mehr als 50 Prozent haben ihre Logik in nativen Maschinencode kompiliert, fanden sie heraus. Darüber hinaus akzeptieren 62 Prozent der Systeme Firmware-Downloads über Ethernet, während nur 51 Prozent eine Authentifizierung für diese Funktionalität haben.

In der Zwischenzeit war die inhärente Sicherheit des Geräts manchmal nicht direkt die Schuld des Herstellers, sondern die von „unsicheren“ Komponenten in der Lieferkette, was das Risikomanagement der Hersteller weiter verkompliziert, fanden Forscher heraus.

„Schwachstellen in OT-Lieferkettenkomponenten werden in der Regel nicht von jedem betroffenen Hersteller gemeldet, was zu den Schwierigkeiten des Risikomanagements beiträgt“, sagten sie.

Langer Weg voraus

Tatsächlich erfordert das Management des Risikomanagements in OT- und IT-Geräten und -Systemen gleichermaßen „eine gemeinsame Sprache des Risikos“, was bei so vielen Inkonsistenzen zwischen Anbietern und ihren Sicherheits- und Produktionsstrategien in einer Branche schwer zu erreichen ist, bemerkte Nick Sanna, CEO von RiskLens.

Um dies zu beheben, schlug er Anbietern vor, das Risiko in finanzieller Hinsicht zu quantifizieren, was es Risikomanagern und Anlagenbetreibern ermöglichen kann, die Entscheidungsfindung zu priorisieren, um „auf Schwachstellen zu reagieren – Patchen, Hinzufügen von Kontrollen, Verstärken von Versicherungen – alles auf der Grundlage eines klaren Verständnisses des Verlustrisikos für sowohl IT als auch Betriebsanlagen.“

Doch selbst wenn die Anbieter beginnen, sich den grundlegenden Herausforderungen zu stellen, die das OT:ICEFALL-Szenario geschaffen haben, stehen sie vor einem sehr langen Weg, um das Sicherheitsproblem umfassend zu entschärfen, so die Forescout-Forscher.

„Ein vollständiger Schutz gegen OT:ICEFALL erfordert, dass Anbieter diese grundlegenden Probleme mit Änderungen in der Geräte-Firmware und unterstützten Protokollen angehen und dass Asset-Eigentümer die Änderungen (Patches) in ihren eigenen Netzwerken anwenden“, schrieben sie. „Realistischerweise wird dieser Prozess sehr lange dauern.“