Ontdekking van 56 OT-apparaatfouten toegeschreven aan een gebrekkige beveiligingscultuur

Onderzoekers ontdekten 56 kwetsbaarheden die van invloed waren op apparaten van 10 leveranciers van operationele technologie (OT), waarvan ze de meeste hebben toegeschreven aan inherente ontwerpfouten in apparatuur en een lakse benadering van beveiliging en risicobeheer die de industrie al tientallen jaren teisteren, zeiden ze.

De kwetsbaarheden – die in apparaten zijn gevonden door bekende leveranciers Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa en een niet nader genoemde fabrikant – variëren in termen van hun kenmerken en wat ze bedreigingsactoren laten doen, volgens het onderzoek van Forescout's Vedere Labs.

Over het algemeen is de "impact van elke kwetsbaarheid echter groot, afhankelijk van de functionaliteit die elk apparaat biedt", aldus een blog post over de fouten die dinsdag werden gepubliceerd.

Onderzoekers hebben het type fout dat ze in elk van de producten vonden onderverdeeld in vier basiscategorieën: onveilige technische protocollen; zwakke cryptografie of kapotte authenticatieschema's; onveilige firmware-updates; of uitvoering van externe code via native functionaliteit.

Tot de activiteiten die dreigingsactoren kunnen ondernemen door de fouten op een getroffen apparaat uit te buiten, behoren: uitvoering van externe code (RCE), waarbij code wordt uitgevoerd in verschillende gespecialiseerde processors en verschillende contexten binnen een processor; denial of service (DoS) die een apparaat volledig offline kan halen of de toegang tot een bepaalde functie kan blokkeren; manipulatie van bestanden/firmware/configuratie waarmee een aanvaller belangrijke aspecten van een apparaat kan wijzigen; compromis met referenties waardoor toegang tot apparaatfuncties mogelijk is; of authenticatie-bypass waarmee een aanvaller de gewenste functionaliteit op het doelapparaat kan oproepen, aldus onderzoekers.

Systemisch probleem

Dat de gebreken - die onderzoekers gezamenlijk OT:ICEFALL noemden in een verwijzing naar de Mount Everest en de bergapparaten die makers moeten beklimmen in termen van veiligheid - bestaan ​​in belangrijke apparaten in netwerken die kritieke infrastructuur op zichzelf beheersen, is al erg genoeg.

Wat echter nog erger is, is dat de fouten voorkomen hadden kunnen worden, aangezien 74 procent van de productfamilies die door de kwetsbaarheden worden getroffen, een soort van beveiligingscertificering hebben en dus werden geverifieerd voordat ze op de markt werden gebracht, ontdekten onderzoekers. Bovendien hadden de meeste van hen "relatief snel ontdekt moeten worden tijdens diepgaande ontdekking van kwetsbaarheden", merkten ze op.

Deze gratis pas die OT-leveranciers aan kwetsbare producten hebben gegeven, toont een aanhoudende matte inspanning van de industrie als geheel als het gaat om beveiliging en risicobeheer, iets wat onderzoekers hopen te veranderen door een licht op het probleem te laten schijnen, zeiden ze.

"Deze problemen variëren van aanhoudende onveilige-by-design-praktijken in beveiligingsgecertificeerde producten tot onvoldoende pogingen om er vanaf te komen", schreven onderzoekers in de post. "Het doel [van ons onderzoek] is om te illustreren hoe de ondoorzichtige en bedrijfseigen aard van deze systemen, het suboptimale beheer van kwetsbaarheden eromheen en het vaak valse gevoel van veiligheid dat wordt geboden door certificeringen, de inspanningen voor OT-risicobeheer aanzienlijk bemoeilijken."

Beveiligingsparadox

Beveiligingsprofessionals merkten inderdaad ook de paradox op van de lakse beveiligingsstrategie van leveranciers in een veld dat de systemen produceert waarop kritieke infrastructuur draait, aanvallen waarop catastrofaal kan zijn, niet alleen voor de netwerken waarop de producten bestaan, maar voor de wereld in het algemeen.

"Men kan ten onrechte aannemen dat de industriële besturings- en operationele technologie-apparaten die enkele van de meest vitale en gevoelige taken uitvoeren in kritieke infrastructuur omgevingen zouden tot de zwaarst beveiligde systemen ter wereld behoren, maar de realiteit is vaak precies het tegenovergestelde”, aldus Chris Clements, vice-president oplossingsarchitectuur voor Cerberus Sentinel, in een e-mail aan Threatpost.

Inderdaad, zoals blijkt uit het onderzoek, "hebben te veel apparaten in deze rollen beveiligingscontroles die aanvallers angstaanjagend gemakkelijk kunnen verslaan of omzeilen om volledige controle over de apparaten te krijgen", zei hij.

De bevindingen van onderzoekers zijn het zoveelste signaal dat de OT-industrie "een langverwachte cybersecurity-afrekening ervaart" die leveranciers eerst en vooral moeten aanpakken door beveiliging op het meest elementaire productieniveau te integreren voordat ze verder gaan, merkte Clements op.

"Fabrikanten van gevoelige operationele technologie-apparaten moeten een cultuur van cyberbeveiliging aannemen die begint bij het begin van het ontwerpproces, maar doorgaat tot het valideren van de resulterende implementatie in het eindproduct", zei hij.

Uitdagingen voor risicobeheer

Onderzoekers schetsten enkele van de redenen voor de inherente problemen met beveiligingsontwerp en risicobeheer in OT-apparaten die zij fabrikanten voorstellen om snel te verhelpen.

Een daarvan is het gebrek aan uniformiteit in termen van functionaliteit op alle apparaten, wat betekent dat hun inherente gebrek aan beveiliging ook sterk varieert en het oplossen van problemen ingewikkeld maakt, zeiden ze. Bij het onderzoeken van drie hoofdroutes voor het verkrijgen van RCE op niveau 1-apparaten via native functionaliteit - logische downloads, firmware-updates en lees-/schrijfbewerkingen in het geheugen - ontdekten onderzoekers dat individuele technologie deze routes anders aanpakte.

Geen van de geanalyseerde systemen ondersteunt logische ondertekening en meer dan 50 procent compileerde hun logica naar native machinecode, vonden ze. Bovendien accepteert 62 procent van de systemen firmwaredownloads via Ethernet, terwijl slechts 51 procent authenticatie voor deze functionaliteit heeft.

Ondertussen was de inherente beveiliging van het apparaat soms niet direct de schuld van de fabrikant, maar van 'onveilig-door-ontwerp'-componenten in de toeleveringsketen, wat de manier waarop fabrikanten risico's beheren verder compliceert, ontdekten onderzoekers.

"Kwetsbaarheden in componenten van de OT-toeleveringsketen worden meestal niet door elke betrokken fabrikant gemeld, wat bijdraagt ​​​​aan de problemen van risicobeheer", zeiden ze.

Lange weg vooruit

Het beheren van risicobeheer in zowel OT- als IT-apparaten en -systemen vereist inderdaad "een gemeenschappelijke risicotaal", iets dat moeilijk te bereiken is met zoveel inconsistenties tussen leveranciers en hun beveiligings- en productiestrategieën in een branche, merkte Nick Sanna, CEO van RisicoLens.

Om dit te verhelpen, stelde hij voor dat leveranciers risico's in financiële termen kwantificeren, wat risicomanagers en fabrieksexploitanten in staat kan stellen prioriteit te geven aan de besluitvorming over "het reageren op kwetsbaarheden - patchen, controles toevoegen, verzekering verhogen - allemaal gebaseerd op een duidelijk begrip van de blootstelling aan verliezen voor zowel IT als bedrijfsmiddelen.”

Maar zelfs als leveranciers beginnen met het aanpakken van de fundamentele uitdagingen die het OT:ICEFALL-scenario hebben veroorzaakt, staan ​​ze voor een zeer lange weg om het beveiligingsprobleem volledig te verminderen, aldus Forescout-onderzoekers.

"Volledige bescherming tegen OT:ICEFALL vereist dat leveranciers deze fundamentele problemen aanpakken met wijzigingen in apparaatfirmware en ondersteunde protocollen en dat eigenaren van activa de wijzigingen (patches) in hun eigen netwerken toepassen", schreven ze. "Realistisch gezien zal dat proces erg lang duren."