Se han revelado casi cinco docenas de vulnerabilidades de seguridad en dispositivos de 10 proveedores de tecnología operativa (OT) debido a lo que los investigadores denominan «prácticas inseguras por diseño».
Apodado colectivamente OT: CAÍDA DE HIELO por Forescout, los 56 números abarcan hasta 26 modelos de dispositivos de Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens y Yokogawa.
«Al explotar estas vulnerabilidades, los atacantes con acceso a la red a un dispositivo de destino podrían ejecutar código de forma remota, cambiar la lógica, los archivos o el firmware de los dispositivos OT, eludir la autenticación, comprometer las credenciales, causar denegaciones de servicio o tener una variedad de impactos operativos», dijo la empresa. dijo en un informe técnico.
Estas vulnerabilidades podrían tener consecuencias desastrosas considerando que los productos afectados se emplean ampliamente en industrias de infraestructura crítica como petróleo y gas, química, nuclear, generación y distribución de energía, fabricación, tratamiento y distribución de agua, minería y automatización de edificios.
De las 56 vulnerabilidades descubiertas, el 38 % permite el compromiso de las credenciales, el 21 % permite la manipulación del firmware, el 14 % permite la ejecución remota de código y el 8 % de las fallas permiten la manipulación de la información de configuración.
Además de permitir potencialmente que un atacante suministre código arbitrario y realice modificaciones no autorizadas en el firmware, las debilidades también podrían aprovecharse para desconectar completamente un dispositivo y eludir las funciones de autenticación existentes para invocar cualquier funcionalidad en los objetivos.
Más importante aún, los esquemas de autenticación rotos, incluido el desvío, el uso de protocolos criptográficos riesgosos y las credenciales codificadas y de texto sin formato, representaron 22 de las 56 fallas, lo que indica «controles de seguridad deficientes» durante la implementación.
En un escenario hipotético del mundo real, estas deficiencias podrían usarse como armas contra tuberías de gas natural, turbinas eólicas o líneas de ensamblaje de fabricación discreta para interrumpir el transporte de combustible, anular las configuraciones de seguridad, detener la capacidad de controlar las estaciones de compresión y alterar el funcionamiento de la lógica programable. controladores (PLC).
Pero las amenazas no son solo teóricas. Una falla de ejecución remota de código que afectaba a los controladores Omron NJ/NX (CVE-2022-31206) fue, de hecho, explotada por un actor alineado con el estado llamado CHERNOVITE para desarrollar una parte de un malware sofisticado llamado PIPEDREAM (también conocido como INCONTROLLER).
La creciente interconexión entre las redes de TI y OT complica la gestión de riesgos, junto con la naturaleza opaca y propietaria de muchos sistemas de OT, sin mencionar la ausencia de CVE, lo que hace que los problemas persistentes sean invisibles, así como la retención de características inseguras por diseño para mucho tiempo.
Para mitigar OT:ICEFALL, se recomienda descubrir e inventariar dispositivos vulnerables, hacer cumplir la segmentación de los activos de OT, monitorear el tráfico de red en busca de actividad anómala y adquirir productos seguros por diseño para reforzar la cadena de suministro.
«El desarrollo de malware reciente dirigido a la infraestructura crítica, como Industroyer2, Triton e INCONTROLLER, ha demostrado que los actores de amenazas son conscientes de la naturaleza insegura del diseño de la tecnología operativa y están listos para explotarla y causar estragos», dijeron los investigadores.
«A pesar del importante papel que juegan los esfuerzos de fortalecimiento basados en estándares en la seguridad de OT, los productos con características inseguras por diseño y controles de seguridad quebrados trivialmente continuaron siendo certificados».