En kultur av "osäker-by-design" säkerhet citeras i upptäckten av buggfyllda operativa tekniska enheter.
Forskare upptäckte 56 sårbarheter som påverkar enheter från 10 leverantörer av operationell teknologi (OT), varav de flesta har tillskrivits inneboende designfel i utrustning och ett slappt förhållningssätt till säkerhet och riskhantering som har plågat branschen i decennier, sa de.
Sårbarheterna – som finns i enheter av välrenommerade leverantörer Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa samt en icke namngiven tillverkare – varierar i termer av deras egenskaper och vad de tillåter hotaktörer att göra, enligt forskning från Forescouts Vedere Labs.
Men totalt sett är effekten av varje sårbarhet hög beroende på den funktionalitet varje enhet erbjuder, enligt ett blogginlägg om bristerna som publicerades i tisdags.
Forskare delade upp typen av fel som de hittade i var och en av produkterna i fyra grundläggande kategorier: osäkra tekniska protokoll; svag kryptografi eller trasiga autentiseringsscheman; osäkra firmwareuppdateringar; eller fjärrkörning av kod via inbyggd funktionalitet.
Bland de aktiviteter som hotaktörer kan engagera sig i genom att utnyttja bristerna på en påverkad enhet inkluderar: fjärrkodsexekvering (RCE), med kod som exekveras i olika specialiserade processorer och olika sammanhang inom en processor; denial of service (DoS) som kan ta en enhet helt offline eller blockera åtkomst till en viss funktion; fil/firmware/konfigurationsmanipulation som gör att en angripare kan ändra viktiga aspekter av en enhet; autentiseringskompromiss som tillåter åtkomst till enhetsfunktioner; eller autentiseringsbypass som gör att en angripare kan åberopa önskad funktionalitet på målenheten, sa forskare.
Systemiskt problem
Att bristerna – som forskare gemensamt kallade OT:ICEFALL i en referens till Mount Everest och tillverkarna av bergsenheter måste klättra när det gäller säkerhet – existerar i nyckelenheter i nätverk som kontrollerar kritisk infrastruktur i och för sig är illa nog.
Men vad värre är att bristerna kunde ha undvikits, eftersom 74 procent av produktfamiljerna som drabbats av sårbarheterna har någon form av säkerhetscertifiering och därmed verifierades innan de skickades ut på marknaden, fann forskare. Dessutom borde de flesta av dem ha upptäckts "relativt snabbt under djupgående sårbarhetsupptäckt", noterade de.
Detta gratispass OT-leverantörer har gett till sårbara produkter visar på en ihållande svag ansträngning från branschen som helhet när det gäller säkerhet och riskhantering, något forskare hoppas kunna förändra genom att belysa problemet, sa de.
"Dessa problem sträcker sig från ihållande osäkra-by-design-praxis i säkerhetscertifierade produkter till undermåliga försök att ta sig bort från dem", skrev forskare i inlägget. "Målet [med vår forskning] är att illustrera hur den ogenomskinliga och proprietära naturen hos dessa system, den suboptimala sårbarhetshanteringen som omger dem och den ofta falska känslan av säkerhet som erbjuds av certifieringar avsevärt komplicerar OT-riskhanteringsinsatser."
Säkerhetsparadox
Säkerhetsspecialister noterade också paradoxen med leverantörernas slappa säkerhetsstrategi inom ett område som producerar systemen som kör kritisk infrastruktur, attacker på vilket kan vara katastrofalt inte bara för de nätverk där produkterna finns utan för världen i stort.
"Man kan felaktigt anta att de industriella styr- och drifttekniska enheterna som utför några av de mest vitala och känsliga uppgifterna i kritisk infrastruktur miljöer skulle vara bland de mest säkrade systemen i världen, men verkligheten är ofta den raka motsatsen, säger Chris Clements, vice vd för lösningsarkitektur för Cerberus Sentinel, i ett mejl till Threatpost.
Faktum är att, som forskningen visar, "för många enheter i dessa roller har säkerhetskontroller som är skrämmande lätta för angripare att besegra eller kringgå för att ta fullständig kontroll över enheterna", sa han.
Resultaten av forskare är ytterligare en signal om att OT-industrin "upplever en sedan länge försenad cybersäkerhetsräkning" som leverantörer måste ta itu med först och främst genom att integrera säkerhet på den mest grundläggande produktionsnivån innan de går vidare, observerade Clements.
"Tillverkare av känsliga driftstekniska enheter måste anta en cybersäkerhetskultur som börjar i början av designprocessen men fortsätter fram till validering av den resulterande implementeringen i slutprodukten," sa han.
Utmaningar för riskhantering
Forskare beskrev några av orsakerna till de inneboende problemen med säkerhetsdesign och riskhantering i OT-enheter som de föreslår att tillverkare åtgärdar på ett snabbt sätt.
Den ena är bristen på enhetlighet vad gäller funktionalitet mellan enheter, vilket innebär att deras inneboende brist på säkerhet också varierar stort och gör felsökningen komplicerad, sa de. Till exempel, när de undersökte tre huvudvägar för att få RCE på nivå 1-enheter via inbyggd funktionalitet – logiknedladdningar, firmwareuppdateringar och läs-/skrivfunktioner för minne – fann forskare att individuell teknologi hanterade dessa vägar på olika sätt.
Inget av de analyserade systemen stöder logisk signering och mer än 50 procent kompilerade sin logik till inbyggd maskinkod, fann de. Dessutom accepterar 62 procent av systemen nedladdning av fast programvara via Ethernet, medan endast 51 procent har autentisering för denna funktion.
Under tiden, ibland var den inneboende säkerheten för enheten inte direkt tillverkarens fel utan den av "osäker-by-design" komponenter i leveranskedjan, vilket ytterligare komplicerar hur tillverkare hanterar risker, fann forskare.
"Sårbarheter i OT-försörjningskedjans komponenter tenderar att inte rapporteras av alla berörda tillverkare, vilket bidrar till svårigheterna med riskhantering," sa de.
Lång väg framåt
Faktum är att hantering av riskhantering i både OT- och IT-enheter och -system kräver "ett gemensamt riskspråk", något som är svårt att uppnå med så många inkonsekvenser mellan leverantörer och deras säkerhets- och produktionsstrategier i en bransch, noterade Nick Sanna, VD för RiskLens.
För att råda bot på detta föreslog han leverantörer att kvantifiera risker i ekonomiska termer, vilket kan göra det möjligt för riskhanterare och anläggningsoperatörer att prioritera beslutsfattande om att "reagera på sårbarheter - korrigering, lägga till kontroller, öka försäkringen - allt baserat på en tydlig förståelse av förlustexponering för både IT och operativa tillgångar.”
Men även om leverantörer börjar ta itu med de grundläggande utmaningarna som har skapat OT:ICEFALL-scenariot, står de inför en mycket lång väg framåt för att mildra säkerhetsproblemet på ett heltäckande sätt, sa Forescout-forskare.
"Fullständigt skydd mot OT:ICEFALL kräver att leverantörer tar itu med dessa grundläggande problem med ändringar i enhetens firmware och protokoll som stöds och att tillgångsägare tillämpar ändringarna (patcharna) i sina egna nätverk", skrev de. "Realistiskt sett kommer den processen att ta väldigt lång tid."
