بگ سے چھلنی آپریشنل ٹیکنالوجی آلات کی دریافت میں 'غیر محفوظ بہ ڈیزائن' سیکورٹی کی ثقافت کا حوالہ دیا گیا ہے۔
محققین نے 56 آپریشنل ٹکنالوجی (OT) وینڈرز سے ڈیوائسز کو متاثر کرنے والی 10 کمزوریاں دریافت کیں، جن میں سے بیشتر کی وجہ سازوسامان میں موروثی ڈیزائن کی خامیوں اور سیکیورٹی اور رسک مینجمنٹ کے لیے ایک سست رویہ ہے جو کئی دہائیوں سے انڈسٹری کو پریشان کر رہی ہے۔
نامور وینڈرز ہنی ویل، ایمرسن، موٹرولا، سیمنز، جے ٹی ای کے ٹی، بینٹلی نیواڈا، فونکس کانٹیکٹ، اومرون، یوگوگاوا کے ساتھ ساتھ ایک نامعلوم مینوفیکچرر کے آلات میں پائے جانے والے کمزوریاں ان کی خصوصیات کے لحاظ سے مختلف ہوتی ہیں اور جو وہ دھمکی آمیز اداکاروں کو کرنے کی اجازت دیتے ہیں، Forescout's Vedere Labs کی تحقیق کے مطابق۔
تاہم، مجموعی طور پر "ہر خطرے کا اثر ہر ڈیوائس کی پیش کردہ فعالیت پر زیادہ منحصر ہے،" کے مطابق ایک بلاگ پوسٹ منگل کو شائع ہونے والی خامیوں کے بارے میں۔
محققین نے ہر ایک پروڈکٹ میں پائی جانے والی خامیوں کو چار بنیادی اقسام میں تقسیم کیا: غیر محفوظ انجینئرنگ پروٹوکول؛ کمزور خفیہ نگاری یا ٹوٹی ہوئی تصدیقی اسکیمیں؛ غیر محفوظ فرم ویئر اپ ڈیٹس؛ یا مقامی فعالیت کے ذریعے ریموٹ کوڈ پر عمل درآمد۔
متاثرہ ڈیوائس کی خامیوں کا فائدہ اٹھا کر دھمکی دینے والے اداکار جن سرگرمیوں میں شامل ہو سکتے ہیں ان میں شامل ہیں: ریموٹ کوڈ ایگزیکیوشن (RCE)، مختلف مخصوص پروسیسرز اور پروسیسر کے اندر مختلف سیاق و سباق میں کوڈ کے ساتھ؛ سروس سے انکار (DoS) جو کسی ڈیوائس کو مکمل طور پر آف لائن لے سکتا ہے یا کسی خاص فنکشن تک رسائی کو روک سکتا ہے۔ فائل/فرم ویئر/کنفیگریشن ہیرا پھیری جو حملہ آور کو آلہ کے اہم پہلوؤں کو تبدیل کرنے کی اجازت دیتی ہے۔ اسنادی سمجھوتہ آلہ کے افعال تک رسائی کی اجازت دیتا ہے۔ یا توثیق بائی پاس جو حملہ آور کو ٹارگٹ ڈیوائس پر مطلوبہ فعالیت شروع کرنے کی اجازت دیتا ہے، محققین نے کہا۔
نظامی مسئلہ
یہ خامیاں — جنہیں محققین نے ماؤنٹ ایورسٹ کے حوالے سے OT:ICEFALL کو اجتماعی طور پر ڈب کیا ہے اور پہاڑی ڈیوائس بنانے والوں کو سیکیورٹی کے لحاظ سے چڑھنے کی ضرورت ہے — نیٹ ورکس کے کلیدی آلات میں موجود ہیں جو کہ بنیادی ڈھانچے کو کنٹرول کرتے ہیں اور خود کافی خراب ہیں۔
تاہم، اس سے بھی بدتر بات یہ ہے کہ خامیوں سے بچا جا سکتا تھا، کیونکہ 74 فیصد پروڈکٹ فیملیز جو کمزوریوں سے متاثر ہوتی ہیں ان کے پاس کسی نہ کسی قسم کی سیکیورٹی سرٹیفیکیشن ہوتی ہے اور اس طرح مارکیٹ میں بھیجے جانے سے پہلے اس کی تصدیق کی جاتی تھی، محققین نے پایا۔ مزید یہ کہ، ان میں سے بیشتر کو "گہرائی سے خطرے کی دریافت کے دوران نسبتاً تیزی سے دریافت کیا جانا چاہیے تھا،" انہوں نے نوٹ کیا۔
انہوں نے کہا کہ یہ مفت پاس OT وینڈرز کمزور مصنوعات کو دے رہے ہیں جو مجموعی طور پر انڈسٹری کی طرف سے مسلسل کمزور کوشش کو ظاہر کرتا ہے جب بات سیکورٹی اور رسک مینجمنٹ کی ہو، محققین کو امید ہے کہ اس مسئلے پر روشنی ڈال کر کچھ تبدیلی آئے گی۔
محققین نے پوسٹ میں لکھا، "یہ مسائل سیکیورٹی سے تصدیق شدہ مصنوعات میں مستقل طور پر غیر محفوظ طریقے سے ڈیزائن کے طریقوں سے لے کر ان سے دور جانے کی ذیلی کوششوں تک ہیں۔" "[ہماری تحقیق کا] مقصد یہ بتانا ہے کہ کس طرح ان سسٹمز کی مبہم اور ملکیتی نوعیت، ان کے ارد گرد موجود سب سے زیادہ کمزوری کا انتظام اور سرٹیفیکیشنز کے ذریعہ پیش کردہ سیکورٹی کا اکثر غلط احساس OT رسک مینجمنٹ کی کوششوں کو نمایاں طور پر پیچیدہ بناتا ہے۔"
سیکیورٹی پیراڈاکس
درحقیقت، سیکورٹی کے پیشہ ور افراد نے ایسے شعبے میں دکانداروں کی کمزور حفاظتی حکمت عملی کے تضاد کو بھی نوٹ کیا جو اہم بنیادی ڈھانچے کو چلانے والے نظام کو تیار کرتا ہے، حملوں جس پر نہ صرف ان نیٹ ورکس کے لیے تباہ کن ہو سکتا ہے جن پر مصنوعات موجود ہیں بلکہ پوری دنیا کے لیے۔
"کوئی غلط طور پر یہ فرض کر سکتا ہے کہ صنعتی کنٹرول اور آپریشنل ٹیکنالوجی کے آلات جو کہ کچھ انتہائی اہم اور حساس کام انجام دیتے ہیں۔ اہم بنیادی ڈھانچے ماحولیات دنیا کے سب سے زیادہ محفوظ نظاموں میں سے ہوں گے، لیکن حقیقت اکثر اس کے بالکل برعکس ہوتی ہے،" کرس کلیمینٹس، سیربیرس سینٹینیل کے حل فن تعمیر کے نائب صدر، نے Threatpost کو ایک ای میل میں نوٹ کیا۔
درحقیقت، جیسا کہ تحقیق سے ثبوت ملتا ہے، "ان کرداروں میں بہت سے آلات پر حفاظتی کنٹرول ہوتے ہیں جو حملہ آوروں کے لیے خوفناک حد تک آسان ہوتے ہیں کہ وہ آلات پر مکمل کنٹرول حاصل کرنے کے لیے شکست دے یا بائی پاس کر سکیں،" انہوں نے کہا۔
کلیمینٹس نے مشاہدہ کیا کہ محققین کے نتائج ایک اور اشارہ ہیں کہ OT انڈسٹری "ایک طویل التواء سائبر سیکیورٹی حساب کتاب کا سامنا کر رہی ہے" جس پر دکانداروں کو آگے بڑھنے سے پہلے پیداوار کی سب سے بنیادی سطح پر سیکیورٹی کو مربوط کرکے سب سے پہلے حل کرنا ہوگا۔
انہوں نے کہا کہ "حساس آپریشنل ٹیکنالوجی ڈیوائسز کے مینوفیکچررز کو سائبر سیکیورٹی کی ثقافت کو اپنانا چاہیے جو ڈیزائن کے عمل کے بالکل آغاز سے شروع ہوتا ہے لیکن حتمی پروڈکٹ کے نتیجے میں عمل درآمد کی توثیق تک جاری رہتا ہے۔"
رسک مینجمنٹ کو چیلنجز
محققین نے او ٹی ڈیوائسز میں سیکیورٹی ڈیزائن اور رسک مینجمنٹ کے ساتھ موروثی مسائل کی کچھ وجوہات بیان کیں جن کے بارے میں وہ مینوفیکچررز کو فوری انداز میں علاج تجویز کرتے ہیں۔
انہوں نے کہا کہ ایک تو آلات میں فعالیت کے لحاظ سے یکسانیت کا فقدان ہے، جس کا مطلب ہے کہ ان کی حفاظت کی موروثی کمی بھی وسیع پیمانے پر مختلف ہوتی ہے اور خرابیوں کا سراغ لگانا پیچیدہ بناتی ہے۔ مثال کے طور پر، مقامی فعالیت کے ذریعے لیول 1 ڈیوائسز پر RCE حاصل کرنے کے تین اہم راستوں کی چھان بین کرتے ہوئے- منطق ڈاؤن لوڈ، فرم ویئر اپ ڈیٹس اور میموری ریڈ/رائٹ آپریشنز- محققین نے پایا کہ انفرادی ٹیکنالوجی نے ان راستوں کو مختلف طریقے سے ہینڈل کیا۔
انہوں نے پایا کہ کسی بھی سسٹم نے سپورٹ لاجک سائننگ کا تجزیہ نہیں کیا اور 50 فیصد سے زیادہ نے اپنی منطق کو مقامی مشین کوڈ پر مرتب کیا۔ مزید یہ کہ، 62 فیصد سسٹمز ایتھرنیٹ کے ذریعے فرم ویئر ڈاؤن لوڈز کو قبول کرتے ہیں، جبکہ صرف 51 فیصد کے پاس اس فعالیت کے لیے تصدیق ہے۔
دریں اثنا، بعض اوقات ڈیوائس کی موروثی سیکیورٹی براہ راست مینوفیکچرر کی غلطی نہیں ہوتی تھی بلکہ سپلائی چین میں "غیر محفوظ بہ ڈیزائن" اجزاء کی ہوتی تھی، جو مزید پیچیدہ بناتی ہے کہ مینوفیکچررز خطرے کا انتظام کیسے کرتے ہیں، محققین نے پایا۔
انہوں نے کہا کہ "OT سپلائی چین کے اجزاء میں کمزوریوں کی اطلاع ہر متاثرہ مینوفیکچرر کے ذریعہ نہیں دی جاتی ہے، جو رسک مینجمنٹ میں مشکلات کا باعث بنتی ہے۔"
آگے لانگ روڈ
درحقیقت، OT اور IT آلات اور سسٹمز میں رسک مینجمنٹ کو یکساں طور پر منظم کرنے کے لیے "خطرے کی ایک مشترکہ زبان" کی ضرورت ہوتی ہے، جس کا حصول ایک صنعت میں دکانداروں اور ان کی حفاظت اور پیداواری حکمت عملیوں میں بہت سی متضادات کے ساتھ حاصل کرنا مشکل ہے، نک سنا، سی ای او رسک لینس.
اس کے تدارک کے لیے، اس نے دکانداروں کو مالی لحاظ سے خطرے کی مقدار کا مشورہ دیا، جو رسک مینیجرز اور پلانٹ آپریٹرز کو اس قابل بنا سکتے ہیں کہ وہ "خطرناکیوں کا جواب دینے کے بارے میں فیصلہ سازی کو ترجیح دیں - پیچ کرنا، کنٹرول شامل کرنا، بیمہ میں اضافہ - یہ سب کچھ نقصان کی نمائش کی واضح سمجھ پر مبنی ہے۔ آئی ٹی اور آپریشنل اثاثے دونوں۔
تاہم، یہاں تک کہ اگر دکاندار ان بنیادی چیلنجوں سے نمٹنا شروع کر دیتے ہیں جنہوں نے OT:ICEFALL منظر نامے کو تخلیق کیا ہے، تو انہیں سیکورٹی کے مسئلے کو جامع طور پر کم کرنے کے لیے بہت طویل راستے کا سامنا کرنا پڑتا ہے، Forescout محققین نے کہا۔
"OT:ICEFALL کے خلاف مکمل تحفظ کا تقاضا ہے کہ دکاندار ڈیوائس فرم ویئر اور معاون پروٹوکولز میں تبدیلیوں کے ساتھ ان بنیادی مسائل کو حل کریں اور اثاثہ جات کے مالکان اپنے نیٹ ورکس میں تبدیلیاں (پیچز) لاگو کریں،" انہوں نے لکھا۔ "حقیقت میں، اس عمل میں بہت طویل وقت لگے گا۔"
