Descoperirea a 56 de defecte ale dispozitivului OT puse pe seama culturii de securitate lipsite de luminozitate

Cercetătorii au descoperit 56 de vulnerabilități care afectează dispozitivele de la 10 furnizori de tehnologie operațională (OT), majoritatea pe care le-au atribuit defectelor inerente de proiectare ale echipamentelor și unei abordări laxe a securității și gestionării riscurilor care afectează industria de zeci de ani, au spus ei.

Vulnerabilitățile – găsite în dispozitive de către furnizorii renumiți Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa, precum și un producător fără nume – variază în ceea ce privește caracteristicile lor și ceea ce le permit actorilor de amenințări să facă, conform cercetărilor de la laboratoarele Vedere de la Forescout.

Cu toate acestea, în general, „impactul fiecărei vulnerabilități depinde foarte mult de funcționalitatea oferită de fiecare dispozitiv”, potrivit o postare pe blog despre defectele publicate marți.

Cercetătorii au împărțit tipul de defect pe care l-au găsit în fiecare dintre produse în patru categorii de bază: protocoale de inginerie nesigure; criptografie slabă sau scheme de autentificare rupte; actualizări de firmware nesigure; sau executarea codului de la distanță prin funcționalitatea nativă.

Printre activitățile în care se pot angaja actorii amenințărilor prin exploatarea defectelor de pe un dispozitiv afectat se numără: execuția codului la distanță (RCE), cu codul executat în diferite procesoare specializate și diferite contexte în cadrul unui procesor; denial of service (DoS) care poate scoate un dispozitiv complet offline sau poate bloca accesul la o anumită funcție; manipulare fișier/firmware/configurație care permite unui atacator să schimbe aspecte importante ale unui dispozitiv; compromiterea acreditărilor care permite accesul la funcțiile dispozitivului; sau bypass de autentificare care permite unui atacator să invoce funcționalitatea dorită pe dispozitivul țintă, au spus cercetătorii.

Problemă sistemică

Faptul că defectele – pe care cercetătorii le-au numit în mod colectiv OT:ICEFALL într-o referire la Muntele Everest și producătorii de dispozitive montane pe care trebuie să le urce în termeni de securitate – există în dispozitivele cheie din rețelele care controlează infrastructura critică în sine este destul de rău.

Cu toate acestea, ceea ce este mai rău este că defectele ar fi putut fi evitate, deoarece 74% dintre familiile de produse afectate de vulnerabilități au un fel de certificare de securitate și astfel au fost verificate înainte de a fi trimise pe piață, au descoperit cercetătorii. Mai mult, majoritatea dintre ele ar fi trebuit să fie descoperite „relativ rapid în timpul descoperirii aprofundate a vulnerabilităților”, au remarcat ei.

Această trecere gratuită a furnizorilor de OT pe care le-au oferit produselor vulnerabile demonstrează un efort persistent slab din partea industriei în ansamblu atunci când vine vorba de securitate și managementul riscurilor, ceva ce cercetătorii speră să schimbe aruncând o lumină asupra problemei, au spus ei.

„Aceste probleme variază de la practici persistente nesigure prin proiectare în produsele certificate de securitate până la încercări slabe de a se îndepărta de ele”, au scris cercetătorii în postare. „Scopul [cercetării noastre] este de a ilustra modul în care natura opac și proprietară a acestor sisteme, gestionarea suboptimă a vulnerabilităților din jurul lor și sentimentul adesea fals de securitate oferit de certificări complică semnificativ eforturile de gestionare a riscurilor OT.”

Paradoxul securității

Într-adevăr, profesioniștii în securitate au remarcat și paradoxul strategiei de securitate laxe a furnizorilor într-un domeniu care produce sistemele care rulează infrastructura critică, Atacurile pe care poate fi catastrofal nu doar pentru rețelele pe care există produsele, ci și pentru întreaga lume.

„Se poate presupune în mod incorect că controlul industrial și dispozitivele tehnologice operaționale care îndeplinesc unele dintre cele mai vitale și sensibile sarcini din infrastructură critică mediile ar fi printre cele mai puternic securizate sisteme din lume, dar realitatea este adesea exact opusul”, a remarcat Chris Clements, vicepreședinte pentru arhitectura de soluții pentru Cerberus Sentinel, într-un e-mail către Threatpost.

Într-adevăr, așa cum demonstrează cercetarea, „prea multe dispozitive în aceste roluri au controale de securitate care sunt înfricoșător de ușor de înfrânt pentru atacatori sau de ocolit pentru a prelua controlul complet asupra dispozitivelor”, a spus el.

Descoperirile cercetătorilor reprezintă încă un alt semnal că industria OT „se confruntă cu o evaluare a securității cibernetice de mult așteptată”, pe care furnizorii trebuie să o abordeze în primul rând prin integrarea securității la cel mai elementar nivel de producție înainte de a continua, a observat Clements.

„Producătorii de dispozitive sensibile cu tehnologie operațională trebuie să adopte o cultură a securității cibernetice care începe chiar de la începutul procesului de proiectare, dar continuă până la validarea implementării rezultate în produsul final”, a spus el.

Provocări pentru managementul riscului

Cercetătorii au subliniat câteva dintre motivele problemelor inerente cu designul de securitate și gestionarea riscurilor în dispozitivele OT pe care le sugerează producătorilor să le remedieze rapid.

Una este lipsa de uniformitate în ceea ce privește funcționalitatea între dispozitive, ceea ce înseamnă că lipsa lor inerentă de securitate variază, de asemenea, foarte mult și complică depanarea, au spus ei. De exemplu, investigând trei căi principale pentru obținerea RCE pe dispozitivele de nivelul 1 prin funcționalitate nativă – descărcări logice, actualizări de firmware și operațiuni de citire/scriere în memorie – cercetătorii au descoperit că tehnologia individuală a gestionat aceste căi în mod diferit.

Niciunul dintre sistemele analizate nu acceptă semnarea logică și mai mult de 50% și-au compilat logica pe codul mașinii nativ, au descoperit. Mai mult, 62% dintre sisteme acceptă descărcări de firmware prin Ethernet, în timp ce doar 51% au autentificare pentru această funcționalitate.

Între timp, uneori, securitatea inerentă a dispozitivului nu a fost direct vina producătorului, ci a componentelor „nesigure prin proiectare” din lanțul de aprovizionare, ceea ce complică și mai mult modul în care producătorii gestionează riscul, au descoperit cercetătorii.

„Vulnerabilitățile în componentele lanțului de aprovizionare OT tind să nu fie raportate de fiecare producător afectat, ceea ce contribuie la dificultățile de gestionare a riscurilor”, au spus aceștia.

Drum lung înainte

Într-adevăr, gestionarea managementului riscurilor în dispozitivele și sistemele OT și IT necesită „un limbaj comun al riscului”, ceva greu de realizat cu atâtea inconsecvențe între furnizori și strategiile lor de securitate și producție într-o industrie, a remarcat Nick Sanna, CEO al companiei. RiskLens.

Pentru a remedia acest lucru, el a sugerat vânzătorilor să cuantifice riscul în termeni financiari, ceea ce le poate permite managerilor de risc și operatorilor de fabrici să prioritizeze luarea deciziilor privind „răspunsul la vulnerabilități – corecție, adăugare de controale, creșterea asigurării – toate pe baza unei înțelegeri clare a expunerii la pierderi pentru atât active IT, cât și operaționale.”

Cu toate acestea, chiar dacă furnizorii încep să abordeze provocările fundamentale care au creat scenariul OT:ICEFALL, aceștia se confruntă cu un drum foarte lung înainte pentru a atenua problema de securitate în mod cuprinzător, au spus cercetătorii Forescout.

„Protecția completă împotriva OT:ICEFALL necesită ca vânzătorii să abordeze aceste probleme fundamentale cu modificări ale firmware-ului dispozitivului și protocoalelor acceptate și ca proprietarii de active să aplice modificările (patch-urile) în propriile rețele”, au scris ei. „În mod realist, acest proces va dura foarte mult.”