La culture de la sécurité « non sécurisée dès la conception » est citée dans la découverte de dispositifs technologiques opérationnels criblés de bogues.
Les chercheurs ont découvert 56 vulnérabilités affectant les appareils de 10 fournisseurs de technologies opérationnelles (OT), qu'ils ont attribuées pour la plupart à des défauts de conception inhérents à l'équipement et à une approche laxiste de la sécurité et de la gestion des risques qui affligent l'industrie depuis des décennies, ont-ils déclaré.
Les vulnérabilités - trouvées dans les appareils des fournisseurs réputés Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa ainsi qu'un fabricant anonyme - varient en termes de caractéristiques et de ce qu'elles permettent aux acteurs de la menace de faire, selon les recherches des laboratoires Vedere de Forescout.
Cependant, dans l'ensemble, "l'impact de chaque vulnérabilité est élevé en fonction de la fonctionnalité offerte par chaque appareil", selon un blog sur les failles publiées mardi.
Les chercheurs ont décomposé le type de défaut qu'ils ont trouvé dans chacun des produits en quatre catégories de base : protocoles d'ingénierie non sécurisés ; cryptographie faible ou schémas d'authentification cassés ; mises à jour de firmware non sécurisées ; ou l'exécution de code à distance via une fonctionnalité native.
Parmi les activités auxquelles les acteurs de la menace peuvent s'engager en exploitant les failles sur un appareil affecté, citons : l'exécution de code à distance (RCE), avec du code exécuté dans différents processeurs spécialisés et différents contextes au sein d'un processeur ; le déni de service (DoS) qui peut mettre un appareil complètement hors ligne ou bloquer l'accès à une certaine fonction ; manipulation de fichier/micrologiciel/configuration qui permet à un attaquant de modifier des aspects importants d'un appareil ; compromission des informations d'identification permettant l'accès aux fonctions de l'appareil ; ou un contournement d'authentification qui permet à un attaquant d'invoquer la fonctionnalité souhaitée sur l'appareil cible, ont déclaré les chercheurs.
Problème systémique
Que les failles - que les chercheurs ont collectivement surnommées OT:ICEFALL en référence au mont Everest et aux fabricants d'appareils de montagne doivent grimper en termes de sécurité - existent dans les appareils clés des réseaux qui contrôlent les infrastructures critiques en soi, c'est déjà assez grave.
Cependant, ce qui est pire, c'est que les failles auraient pu être évitées, car 74% des familles de produits affectées par les vulnérabilités ont une sorte de certification de sécurité et ont donc été vérifiées avant d'être mises sur le marché, ont découvert les chercheurs. De plus, la plupart d'entre eux auraient dû être découverts "relativement rapidement lors de la découverte approfondie des vulnérabilités", ont-ils noté.
Ce laissez-passer gratuit que les fournisseurs d'OT ont accordé aux produits vulnérables démontre un effort persistant et terne de la part de l'industrie dans son ensemble en matière de sécurité et de gestion des risques, ce que les chercheurs espèrent changer en mettant en lumière le problème, ont-ils déclaré.
"Ces problèmes vont des pratiques persistantes non sécurisées dès la conception dans les produits certifiés de sécurité aux tentatives médiocres de s'en éloigner", ont écrit les chercheurs dans le post. "L'objectif [de notre recherche] est d'illustrer comment la nature opaque et exclusive de ces systèmes, la gestion sous-optimale des vulnérabilités qui les entourent et le sentiment de sécurité souvent faux offert par les certifications compliquent considérablement les efforts de gestion des risques OT."
Paradoxe de la sécurité
En effet, les professionnels de la sécurité ont également noté le paradoxe de la stratégie de sécurité laxiste des fournisseurs dans un domaine qui produit les systèmes exécutant des infrastructures critiques, attaques qui peut être catastrophique non seulement pour les réseaux sur lesquels les produits existent mais pour le monde entier.
"On peut supposer à tort que les dispositifs de contrôle industriel et de technologie opérationnelle qui effectuent certaines des tâches les plus vitales et les plus sensibles dans infrastructures critiques les environnements seraient parmi les systèmes les plus sécurisés au monde, mais la réalité est souvent exactement le contraire », a noté Chris Clements, vice-président de l'architecture des solutions pour Cerberus Sentinel, dans un e-mail à Threatpost.
En effet, comme en témoignent les recherches, "trop d'appareils dans ces rôles ont des contrôles de sécurité qui sont effroyablement faciles à vaincre ou à contourner pour prendre le contrôle total des appareils", a-t-il déclaré.
Les découvertes des chercheurs sont un autre signal que l'industrie OT "fait l'expérience d'un calcul de la cybersécurité attendu depuis longtemps" que les fournisseurs doivent avant tout aborder en intégrant la sécurité au niveau de production le plus élémentaire avant d'aller plus loin, a observé Clements.
"Les fabricants d'appareils technologiques opérationnels sensibles doivent adopter une culture de la cybersécurité qui commence au tout début du processus de conception, mais qui se poursuit jusqu'à la validation de la mise en œuvre qui en résulte dans le produit final", a-t-il déclaré.
Les défis de la gestion des risques
Les chercheurs ont décrit certaines des raisons des problèmes inhérents à la conception de la sécurité et à la gestion des risques dans les dispositifs OT qu'ils suggèrent aux fabricants de résoudre rapidement.
L'un est le manque d'uniformité en termes de fonctionnalités entre les appareils, ce qui signifie que leur manque de sécurité inhérent varie également considérablement et rend le dépannage compliqué, ont-ils déclaré. Par exemple, en étudiant trois voies principales pour obtenir un RCE sur des appareils de niveau 1 via des fonctionnalités natives (téléchargements logiques, mises à jour de micrologiciels et opérations de lecture/écriture en mémoire), les chercheurs ont découvert que chaque technologie gérait ces voies différemment.
Aucun des systèmes analysés ne prend en charge la signature logique et plus de 50 % ont compilé leur logique en code machine natif, ont-ils constaté. De plus, 62 % des systèmes acceptent les téléchargements de micrologiciels via Ethernet, tandis que seulement 51 % disposent d'une authentification pour cette fonctionnalité.
Pendant ce temps, parfois, la sécurité inhérente de l'appareil n'était pas directement la faute du fabricant mais celle des composants "non sécurisés par conception" dans la chaîne d'approvisionnement, ce qui complique davantage la façon dont les fabricants gèrent les risques, ont découvert les chercheurs.
"Les vulnérabilités des composants de la chaîne d'approvisionnement OT ont tendance à ne pas être signalées par tous les fabricants concernés, ce qui contribue aux difficultés de gestion des risques", ont-ils déclaré.
Longue route à venir
En effet, la gestion de la gestion des risques dans les appareils et systèmes OT et IT nécessite « un langage commun du risque », ce qui est difficile à réaliser avec tant d'incohérences entre les fournisseurs et leurs stratégies de sécurité et de production dans une industrie, a noté Nick Sanna, PDG de Objectif Risque.
Pour remédier à cela, il a suggéré aux fournisseurs de quantifier les risques en termes financiers, ce qui peut permettre aux gestionnaires des risques et aux exploitants d'usines de donner la priorité à la prise de décision sur "la réponse aux vulnérabilités - correctifs, ajout de contrôles, augmentation de l'assurance - le tout basé sur une compréhension claire de l'exposition aux pertes pour à la fois des actifs informatiques et opérationnels.
Cependant, même si les fournisseurs commencent à relever les défis fondamentaux qui ont créé le scénario OT:ICEFALL, ils ont un très long chemin à parcourir pour atténuer le problème de sécurité de manière globale, ont déclaré les chercheurs de Forescout.
"Une protection complète contre OT:ICEFALL exige que les fournisseurs traitent ces problèmes fondamentaux avec des modifications du micrologiciel de l'appareil et des protocoles pris en charge et que les propriétaires d'actifs appliquent les modifications (correctifs) dans leurs propres réseaux", ont-ils écrit. "En réalité, ce processus prendra très longtemps."
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- vulnérabilités
- la sécurité d'un site web
- zéphyrnet
