La cultura de seguridad 'insegura por diseño' se cita en el descubrimiento de dispositivos de tecnología operativa plagados de errores.
Los investigadores descubrieron 56 vulnerabilidades que afectan a los dispositivos de 10 proveedores de tecnología operativa (OT), la mayoría de las cuales atribuyeron a fallas de diseño inherentes en los equipos y un enfoque laxo de la seguridad y la gestión de riesgos que han estado plagando la industria durante décadas, dijeron.
Las vulnerabilidades, encontradas en dispositivos de proveedores reputados como Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa y un fabricante no identificado, varían en cuanto a sus características y lo que permiten que hagan los actores de amenazas. según la investigación de los laboratorios Vedere de Forescout.
Sin embargo, en general, el "impacto de cada vulnerabilidad depende en gran medida de la funcionalidad que ofrece cada dispositivo", según una entrada de blog sobre las fallas publicadas el martes.
Los investigadores desglosaron el tipo de falla que encontraron en cada uno de los productos en cuatro categorías básicas: protocolos de ingeniería inseguros; criptografía débil o esquemas de autenticación rotos; actualizaciones de firmware no seguras; o ejecución remota de código a través de la funcionalidad nativa.
Entre las actividades en las que pueden participar los actores de amenazas al explotar las fallas en un dispositivo afectado se incluyen: ejecución remota de código (RCE), con código ejecutado en diferentes procesadores especializados y diferentes contextos dentro de un procesador; denegación de servicio (DoS) que puede desconectar por completo un dispositivo o bloquear el acceso a una determinada función; manipulación de archivos/firmware/configuración que permite a un atacante cambiar aspectos importantes de un dispositivo; compromiso de credenciales que permite el acceso a las funciones del dispositivo; o eludir la autenticación que permite a un atacante invocar la funcionalidad deseada en el dispositivo de destino, dijeron los investigadores.
Problema sistémico
Que las fallas, que los investigadores denominaron colectivamente OT: ICEFALL en referencia al Monte Everest y la montaña que los fabricantes de dispositivos deben escalar en términos de seguridad, existan en dispositivos clave en redes que controlan la infraestructura crítica en sí misma es bastante malo.
Sin embargo, lo peor es que las fallas podrían haberse evitado, ya que el 74 por ciento de las familias de productos afectados por las vulnerabilidades tienen algún tipo de certificación de seguridad y, por lo tanto, se verificaron antes de enviarse al mercado, según los investigadores. Además, la mayoría de ellos deberían haber sido descubiertos "relativamente rápido durante el descubrimiento de vulnerabilidades en profundidad", señalaron.
Este pase gratuito que los proveedores de OT han estado otorgando a los productos vulnerables demuestra un esfuerzo mediocre persistente por parte de la industria en su conjunto en lo que respecta a la seguridad y la gestión de riesgos, algo que los investigadores esperan cambiar al arrojar luz sobre el problema, dijeron.
“Estos problemas van desde prácticas persistentes inseguras por diseño en productos con certificación de seguridad hasta intentos mediocres de alejarse de ellos”, escribieron los investigadores en la publicación. “El objetivo [de nuestra investigación] es ilustrar cómo la naturaleza opaca y propietaria de estos sistemas, la gestión de vulnerabilidades subóptima que los rodea y la sensación de seguridad a menudo falsa que ofrecen las certificaciones complican significativamente los esfuerzos de gestión de riesgos de OT”.
Paradoja de seguridad
De hecho, los profesionales de la seguridad también notaron la paradoja de la estrategia de seguridad laxa de los proveedores en un campo que produce los sistemas que ejecutan la infraestructura crítica, ataques en el que puede ser catastrófico no solo para las redes en las que existen los productos sino para el mundo en general.
“Uno puede suponer incorrectamente que los dispositivos de control industrial y tecnología operativa que realizan algunas de las tareas más vitales y sensibles en infraestructura crítica los entornos estarían entre los sistemas más protegidos del mundo, pero la realidad suele ser exactamente lo contrario”, señaló Chris Clements, vicepresidente de arquitectura de soluciones de Cerberus Sentinel, en un correo electrónico a Threatpost.
De hecho, como lo demuestra la investigación, "demasiados dispositivos en estos roles tienen controles de seguridad que son terriblemente fáciles de derrotar o eludir para que los atacantes tomen el control completo de los dispositivos", dijo.
Los hallazgos de los investigadores son otra señal de que la industria de OT "está experimentando un ajuste de cuentas de seguridad cibernética muy atrasado" que los proveedores deben abordar ante todo integrando la seguridad en el nivel más básico de producción antes de continuar, observó Clements.
“Los fabricantes de dispositivos tecnológicos operativos sensibles deben adoptar una cultura de ciberseguridad que comience desde el principio del proceso de diseño pero continúe hasta la validación de la implementación resultante en el producto final”, dijo.
Desafíos para la gestión de riesgos
Los investigadores describieron algunas de las razones de los problemas inherentes con el diseño de seguridad y la gestión de riesgos en los dispositivos OT que sugieren que los fabricantes solucionen de manera rápida.
Una es la falta de uniformidad en términos de funcionalidad entre dispositivos, lo que significa que su falta inherente de seguridad también varía ampliamente y complica la resolución de problemas, dijeron. Por ejemplo, al investigar tres vías principales para obtener RCE en dispositivos de nivel 1 a través de la funcionalidad nativa (descargas de lógica, actualizaciones de firmware y operaciones de lectura/escritura de memoria), los investigadores descubrieron que la tecnología individual manejaba estas vías de manera diferente.
Descubrieron que ninguno de los sistemas analizados admite la firma de lógica y más del 50 por ciento compiló su lógica a código de máquina nativo. Además, el 62 por ciento de los sistemas acepta descargas de firmware a través de Ethernet, mientras que solo el 51 por ciento tiene autenticación para esta funcionalidad.
Mientras tanto, a veces la seguridad inherente del dispositivo no era culpa directa del fabricante, sino de los componentes "inseguros por diseño" en la cadena de suministro, lo que complica aún más la forma en que los fabricantes manejan el riesgo, encontraron los investigadores.
“Las vulnerabilidades en los componentes de la cadena de suministro de OT tienden a no ser informadas por todos los fabricantes afectados, lo que contribuye a las dificultades de la gestión de riesgos”, dijeron.
Largo camino por delante
De hecho, gestionar la gestión de riesgos en dispositivos y sistemas de OT y TI por igual requiere "un lenguaje común de riesgo", algo que es difícil de lograr con tantas inconsistencias entre los proveedores y sus estrategias de seguridad y producción en una industria, señaló Nick Sanna, director ejecutivo de Lente de riesgo.
Para remediar esto, sugirió que los proveedores cuantifiquen el riesgo en términos financieros, lo que puede permitir que los administradores de riesgos y los operadores de planta prioricen la toma de decisiones sobre "responder a las vulnerabilidades (reparar, agregar controles, aumentar los seguros), todo basado en una comprensión clara de la exposición a pérdidas para tanto TI como activos operativos”.
Sin embargo, incluso si los proveedores comienzan a abordar los desafíos fundamentales que han creado el escenario OT:ICEFALL, enfrentan un largo camino por recorrer para mitigar el problema de seguridad de manera integral, dijeron los investigadores de Forescout.
“La protección completa contra OT:ICEFALL requiere que los proveedores aborden estos problemas fundamentales con cambios en el firmware del dispositivo y los protocolos compatibles, y que los propietarios de activos apliquen los cambios (parches) en sus propias redes”, escribieron. “Siendo realistas, ese proceso llevará mucho tiempo”.
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- Vulnerabilidades
- seguridad del sitio web
- zephyrnet
