Araştırmacıların “tasarım gereği güvenli olmayan uygulamalar” olarak adlandırdıkları uygulamalar nedeniyle 10 operasyonel teknoloji (OT) satıcısının cihazlarında yaklaşık beş düzine güvenlik açığı açıklandı.
toplu olarak dublajlı OT:ICEFALL Forescout tarafından hazırlanan 56 sayı, Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens ve Yokogawa’dan 26 cihaz modelini kapsıyor.
Şirket, “Bu güvenlik açıklarını kullanarak, bir hedef cihaza ağ erişimi olan saldırganlar, uzaktan kod yürütebilir, OT cihazlarının mantığını, dosyalarını veya donanım yazılımını değiştirebilir, kimlik doğrulamasını atlayabilir, kimlik bilgilerini tehlikeye atabilir, hizmet reddine neden olabilir veya çeşitli operasyonel etkilere neden olabilir.” Teknik bir raporda söyledi.
Etkilenen ürünlerin petrol ve gaz, kimya, nükleer, enerji üretimi ve dağıtımı, imalat, su arıtma ve dağıtımı, madencilik ve bina otomasyonu gibi kritik altyapı endüstrilerinde yaygın olarak kullanıldığı göz önüne alındığında, bu güvenlik açıkları feci sonuçlara yol açabilir.
Keşfedilen 56 güvenlik açığından %38’i kimlik bilgilerinin ele geçirilmesine, %21’i bellenim manipülasyonuna, %14’ü uzaktan kod yürütülmesine ve %8’i kusurların yapılandırma bilgilerinin kurcalanmasına izin veriyor.
Bir saldırganın potansiyel olarak isteğe bağlı kod sağlamasına ve bellenimde yetkisiz değişiklikler yapmasına izin vermenin yanı sıra, zayıf yönler, bir cihazı tamamen çevrimdışı duruma getirmek ve hedefler üzerinde herhangi bir işlevi çağırmak için mevcut kimlik doğrulama işlevlerini atlamak için de kullanılabilir.
Daha da önemlisi, atlama, riskli kriptografik protokollerin kullanımı ve sabit kodlanmış ve düz metin kimlik bilgileri dahil olmak üzere, bozuk kimlik doğrulama şemaları, uygulama sırasında “alt güvenlik kontrollerini” gösteren 56 kusurun 22’sini oluşturuyordu.
Varsayımsal bir gerçek dünya senaryosunda, bu eksiklikler, yakıt taşımacılığını bozmak, güvenlik ayarlarını geçersiz kılmak, kompresör istasyonlarını kontrol etme yeteneğini durdurmak ve programlanabilir mantığın işleyişini değiştirmek için doğal gaz boru hatlarına, rüzgar türbinlerine veya ayrı üretim montaj hatlarına karşı silahlandırılabilir. kontrolörler (PLC’ler).
Ancak tehditler sadece teorik değildir. Omron NJ/NX denetleyicilerini (CVE-2022-31206) etkileyen bir uzaktan kod yürütme kusuru, aslında, CHERNOVITE adlı devlete uyumlu bir aktör tarafından PIPEDREAM (aka INCONTROLLER) adlı karmaşık bir kötü amaçlı yazılımın bir parçasını geliştirmek için istismar edildi.
Risk yönetimini karmaşık hale getiren, BT ve OT ağları arasındaki artan bağlantılılık ve birçok OT sisteminin opak ve özel doğasıyla birleştiğinde, CVE’lerin yokluğundan bahsetmeye bile gerek yok; uzun zaman.
OT:ICEFALL’ı azaltmak için, savunmasız cihazları keşfetmeniz ve envanterini çıkarmanız, OT varlıklarının segmentasyonunu zorlamanız, anormal etkinlik için ağ trafiğini izlemeniz ve tedarik zincirini güçlendirmek için tasarımı gereği güvenli ürünler tedarik etmeniz önerilir.
Araştırmacılar, “Industroyer2, Triton ve INCONTROLLER gibi kritik altyapıyı hedefleyen son zamanlardaki kötü amaçlı yazılımların geliştirilmesi, tehdit aktörlerinin operasyonel teknolojinin tasarım doğası gereği güvensiz olduğunun farkında olduklarını ve ortalığı kasıp kavurmak için bunu kullanmaya hazır olduklarını gösterdi.” Dedi.
“OT güvenliğinde standartlara dayalı güçlendirme çabalarının oynadığı önemli role rağmen, tasarımı gereği güvenli olmayan özelliklere ve önemsiz derecede kırılmış güvenlik kontrollerine sahip ürünler sertifikalandırılmaya devam etti.”
