کشف 56 نقص دستگاه OT که تقصیر فرهنگ امنیتی Lackluster است

محققان 56 آسیب‌پذیری را بر دستگاه‌های 10 فروشنده فناوری عملیاتی (OT) کشف کردند که بیشتر آن‌ها را به نقص‌های طراحی ذاتی در تجهیزات و رویکرد سهل‌انگیز به امنیت و مدیریت ریسک نسبت داده‌اند که برای دهه‌ها این صنعت را درگیر کرده است.

آسیب‌پذیری‌هایی که در دستگاه‌های فروشندگان مشهور Honeywell، Emerson، Motorola، Siemens، JTEKT، Bentley Nevada، Phoenix Contact، Omron، Yogogawa و همچنین یک سازنده ناشناس یافت می‌شوند، از نظر ویژگی‌های آنها و آنچه که به عوامل تهدید اجازه انجام آن را می‌دهند، متفاوت است. طبق تحقیقات آزمایشگاه‌های Vedere's Forescout.

با این حال، به طور کلی "تأثیر هر آسیب پذیری بستگی زیادی به عملکردی دارد که هر دستگاه ارائه می دهد." یک پست وبلاگ درباره ایرادات منتشر شده در روز سه شنبه

محققان نوع نقصی را که در هر یک از محصولات یافتند به چهار دسته اصلی تقسیم کردند: پروتکل های مهندسی ناامن. رمزنگاری ضعیف یا طرح های احراز هویت شکسته؛ به روز رسانی سیستم عامل ناامن؛ یا اجرای کد از راه دور از طریق عملکرد بومی.

از جمله فعالیت‌هایی که عوامل تهدید می‌توانند با بهره‌برداری از نقص‌های دستگاه آسیب‌دیده انجام دهند عبارتند از: اجرای کد از راه دور (RCE)، با کد اجرا شده در پردازنده‌های تخصصی مختلف و زمینه‌های مختلف در یک پردازنده. انکار سرویس (DoS) که می تواند یک دستگاه را کاملاً آفلاین کند یا دسترسی به یک عملکرد خاص را مسدود کند. دستکاری فایل/سیرم افزار/پیکربندی که به مهاجم اجازه می دهد جنبه های مهم یک دستگاه را تغییر دهد. به خطر انداختن اعتبار که اجازه دسترسی به عملکردهای دستگاه را می دهد. به گفته محققان، یا دور زدن احراز هویت که به مهاجم اجازه می دهد تا عملکرد مورد نظر را در دستگاه مورد نظر فراخوانی کند.

مشکل سیستمیک

این که عیوب - که محققان مجموعاً در اشاره به کوه اورست و سازندگان دستگاه‌های کوهستانی باید از نظر امنیت بالا بروند، OT:ICEFALL نامیده‌اند - در دستگاه‌های کلیدی در شبکه‌هایی وجود دارد که زیرساخت‌های حیاتی را به خودی خود کنترل می‌کنند، به اندازه کافی بد است.

با این حال، بدتر این است که می‌توان از نقص‌ها جلوگیری کرد، زیرا محققان دریافتند 74 درصد از خانواده‌های محصولات آسیب‌پذیر دارای نوعی گواهینامه امنیتی هستند و بنابراین قبل از ارسال به بازار تأیید شده‌اند. علاوه بر این، آنها خاطرنشان کردند که بسیاری از آنها باید "نسبتا سریع در طی کشف عمیق آسیب پذیری" کشف می شدند.

به گفته آنها، این مجوز رایگان که فروشندگان OT به محصولات آسیب پذیر داده اند، نشان دهنده تلاش بی وقفه صنعت به عنوان یک کل در مورد امنیت و مدیریت ریسک است، چیزی که محققان امیدوارند با روشن کردن این مشکل تغییر کنند.

محققان در این پست نوشتند: «این مسائل از شیوه‌های مداوم ناامن بر اساس طراحی در محصولات دارای گواهی امنیتی گرفته تا تلاش‌های پایین‌تر برای دور شدن از آنها متغیر است. "هدف [تحقیق ما] این است که نشان دهیم ماهیت غیرشفاف و اختصاصی این سیستم‌ها، مدیریت آسیب‌پذیری نامناسب پیرامون آن‌ها و احساس امنیت اغلب نادرست ارائه‌شده توسط گواهی‌نامه‌ها به طور قابل توجهی تلاش‌های مدیریت ریسک OT را پیچیده می‌کند."

پارادوکس امنیتی

در واقع، متخصصان امنیت همچنین به پارادوکس استراتژی امنیتی سست فروشندگان در زمینه ای که سیستم های در حال اجرا زیرساخت های حیاتی را تولید می کند، اشاره کردند. حملات که می تواند نه تنها برای شبکه هایی که محصولات در آنها وجود دارند، بلکه برای کل جهان فاجعه بار باشد.

ممکن است به اشتباه تصور شود که تجهیزات کنترل صنعتی و فناوری عملیاتی که برخی از حیاتی ترین و حساس ترین وظایف را انجام می دهند. زیرساخت های حیاتی کریس کلمنتز، معاون معماری راه‌حل‌های Cerberus Sentinel، در ایمیلی به Threatpost، خاطرنشان کرد: محیط‌ها در میان سیستم‌های بسیار امن در جهان خواهند بود، اما واقعیت اغلب دقیقاً برعکس است.

او گفت در واقع، همانطور که در این تحقیق نشان داده شده است، «بسیاری از دستگاه‌ها در این نقش‌ها دارای کنترل‌های امنیتی هستند که شکست دادن آنها یا دور زدن آنها برای کنترل کامل دستگاه‌ها به طرز وحشتناکی آسان است».

کلمنتز مشاهده کرد، یافته‌های محققان سیگنال دیگری است مبنی بر اینکه صنعت OT "در حال تجربه یک حسابرسی امنیت سایبری طولانی مدت است" که فروشندگان باید قبل از ادامه کار، ابتدا با یکپارچه‌سازی امنیت در ابتدایی‌ترین سطح تولید به آن بپردازند.

او گفت: «تولیدکنندگان دستگاه‌های فناوری عملیاتی حساس باید فرهنگ امنیت سایبری را اتخاذ کنند که از همان ابتدای فرآیند طراحی شروع می‌شود، اما تا اعتبار پیاده‌سازی حاصل در محصول نهایی ادامه می‌یابد.»

چالش های مدیریت ریسک

محققان برخی از دلایل مشکلات ذاتی طراحی امنیتی و مدیریت ریسک در دستگاه‌های OT را بیان کردند که به تولیدکنندگان پیشنهاد می‌کنند آن‌ها را به سرعت برطرف کنند.

یکی از آنها عدم یکنواختی از نظر عملکرد در بین دستگاه ها است، به این معنی که عدم امنیت ذاتی آنها نیز بسیار متفاوت است و عیب یابی را پیچیده می کند. به عنوان مثال، در بررسی سه مسیر اصلی برای به دست آوردن RCE در دستگاه های سطح 1 از طریق عملکرد بومی - دانلودهای منطقی، به روز رسانی سیستم عامل و عملیات خواندن/نوشتن حافظه - محققان دریافتند که فناوری فردی این مسیرها را به طور متفاوتی مدیریت می کند.

آنها دریافتند که هیچ یک از سیستم‌ها از امضای منطقی پشتیبانی نمی‌کنند و بیش از 50 درصد منطق خود را در کد ماشین بومی کامپایل کرده‌اند. علاوه بر این، 62 درصد از سیستم‌ها دانلود سیستم‌افزار از طریق اترنت را می‌پذیرند، در حالی که تنها 51 درصد برای این عملکرد تأیید اعتبار دارند.

در همین حال، گاهی اوقات امنیت ذاتی دستگاه مستقیماً مقصر سازنده نیست، بلکه مقصر اجزای «ناامن بر اساس طراحی» در زنجیره تأمین است، که به گفته محققان، نحوه مدیریت ریسک را بیشتر پیچیده‌تر می‌کند.

آنها گفتند: "آسیب پذیری در اجزای زنجیره تامین OT معمولا توسط هر سازنده آسیب دیده گزارش نمی شود، که به مشکلات مدیریت ریسک کمک می کند."

راه طولانی در پیش است

نیک سانا، مدیر عامل شرکت، خاطرنشان کرد: در واقع، مدیریت مدیریت ریسک در دستگاه‌ها و سیستم‌های OT و IT به یک "زبان مشترک ریسک" نیاز دارد، چیزی که دستیابی به آن با وجود تناقضات فراوان بین فروشندگان و استراتژی‌های امنیتی و تولید آنها در یک صنعت دشوار است. RiskLens.

برای رفع این مشکل، او به فروشندگان پیشنهاد کرد که ریسک را از نظر مالی کمیت کنند، که می‌تواند مدیران ریسک و اپراتورهای کارخانه را قادر سازد تصمیم‌گیری در مورد "پاسخ به آسیب‌پذیری‌ها - اصلاح، اضافه کردن کنترل‌ها، افزایش بیمه - همه بر اساس درک روشنی از قرار گرفتن در معرض خسارت هم فناوری اطلاعات و هم دارایی های عملیاتی.»

به گفته محققان Forescout، با این حال، حتی اگر فروشندگان شروع به رسیدگی به چالش‌های اساسی کنند که سناریوی OT:ICEFALL را ایجاد کرده است، با راه بسیار طولانی در پیش رو خواهند داشت تا مشکل امنیتی را به طور جامع کاهش دهند.

آنها نوشتند: «محافظت کامل در برابر OT:ICEFALL مستلزم آن است که فروشندگان با تغییرات در سفت‌افزار دستگاه و پروتکل‌های پشتیبانی‌شده به این مسائل اساسی رسیدگی کنند و صاحبان دارایی‌ها تغییرات (وصله‌های) را در شبکه‌های خود اعمال کنند. "واقع بینانه، این روند زمان بسیار زیادی طول خواهد کشید."