ICS’deki doğal güvenlik kusurları hakkında ne yapmalı? • Kayıt


Operasyonel teknoloji (OT) ve endüstriyel sistemlere yönelik en son tehdit güvenliği araştırması, suçluların kritik altyapıya karşı siber saldırılar başlatmak için kullanabilecekleri bir dizi sorunu (kesin olarak 56) belirledi.

Ancak güvensiz protokoller ve mimari tasarımlar nedeniyle birçoğu düzeltilemez. Bu, bazı endüstriyel siber güvenlik uzmanlarına göre, elektrik şebekelerini kontrol eden ve musluklardan temiz su akmasını sağlayan cihazlarla ilgili daha büyük bir güvenlik sorununun altını çiziyor.

OT siber güvenlik firması SynSaber’in CTO’su Ron Fabela, “Endüstriyel kontrol sistemleri bu doğal güvenlik açıklarına sahip” dedi. Kayıt. “Tasarımları bu şekilde. Geleneksel anlamda yamaları yok, ah, Windows’ta bir güvenlik açığı var, bu KB’yi uygulayın.”

Forescout’un Vedere Labs’ı geçen hafta yayınlanan araştırmada ayrıntılı 56 hata on satıcı tarafından oluşturulan ve toplu olarak güvenlik kusurları OT:ICEFALL olarak adlandırılan cihazlarda.

Rapor yazarlarının da kabul ettiği gibi, bu deliklerin çoğu, OT ürünlerinin temel güvenlik kontrolleri olmadan inşa edilmesinin bir sonucudur. Gerçekten de Forescout’un analizi, Digital Bond’un analizinden on yıl sonra geliyor. Basecamp Projesi OT cihazlarına ve protokollerine de baktı ve onları “tasarım gereği güvensiz” olarak nitelendirdi.

Forescout’un araştırmasını yayınlamasından birkaç saat sonra, CISA Veriliş OT:ICEFALL güvenlik açıklarıyla ilgili kendi güvenlik uyarıları.

CVE’ler: Sorun mu? Ya düzeltme?

Fabela, “Bu noktaya kadar, tasarımı gereği güvenli olmayan bu şeyler için CVE’ler oluşturulmadı ve bunun bir nedeni var,” dedi. “Sektör için kötü”

Bir CVE oluşturulduğunda, endüstriyel sistem operatörleri tarafından, özellikle elektrik hizmetleri ve petrol ve gaz boru hatları gibi ağır şekilde düzenlenmiş endüstrilerde bir dizi eylemi harekete geçirir.

İlk olarak, ortamın etkilenen ürünler içerip içermediğini belirlemeleri gerekir. Ancak, genellikle BT varlıkları üzerinde merkezileştirilmiş görünürlük ve kontrole sahip olan kurumsal BT’nin aksine, OT ortamlarında “her şey dağıtılır”, dedi Fabela.

Endüstriyel ve üretim ortamlarında güvenlik açığından etkilenen herhangi bir ürün varsa, bu, CISA’ya yanıt vermeyi ve güvenliği artırmak için bir plan geliştirmeyi içeren bir dahili inceleme ve düzenleme sürecini tetikler.

Fabela, bir SynSaber müşterisi OT:ICEFALL’ı alaylı bir şekilde “vermeye devam eden hediye” olarak tanımladı. “Artık bu, diğer tüm benzerlerimin üzerine, gerçek güvenlik açıklarına sahibim” dedi ve bu, yama söz konusu olduğunda bir dizi başka sorun ortaya çıkardı – örneğin aylarca sürebilecek planlı bir bakım kesintisine kadar beklemek zorunda kalmak gibi. dışarı – üreticinin bir yaması varsa.

OT protokolleri kimlik doğrulama kullanmaz

Örneğin: Mevcut Modbus protokolüendüstriyel ortamlarda çok yaygın olarak kullanılan , kimlik doğrulamaya sahip değildir.

Forescout’un analizi, kimliği doğrulanmamış protokollerle ilgili dokuz güvenlik açığını ayrıntılandırıyor ve güvensiz OT protokolüne sahip bir ürüne bir CVE Kimliği atanmasına karşı olan argümana itiraz ediyor.

Yazarlar, “Aksine, bir CVE’nin, satıcıları sorunları düzeltmeye ve varlık sahiplerini riskleri değerlendirmeye ve yamaları uygulamaya zorlamaya yardımcı olarak, güvenlik açığı görünürlüğüne ve eyleme geçirilebilirliğe yardımcı olan, topluluk tarafından tanınan bir işaretçi olduğuna inanıyoruz.”

Bu, BT güvenliği açısından mantıklı olsa da, Fabela, OT açısından gerçekçi olmadığını ve nihayetinde kritik altyapıyı daha güvenli hale getirmediğini söyledi.

Modbus, kimlik doğrulama kullanmayan bir protokol olarak, “dünyadaki her ürün hattını etkileyen” “binlerce” CVE üretebilir, dedi Fabela. “Ürün güvenlik ekiplerini OEM’lere bağlıyorsunuz ve müşterileri, varlık sahiplerini hiçbir şey yapamayacakları CVE ile bağlıyorsunuz.”

Basecamp araştırmacısı

Reid Wightman, OT güvenlik mağazası Dragos’un tehdit istihbarat ekibinde kıdemli bir güvenlik açığı araştırmacısıdır. Aynı zamanda orijinal Basecamp Projesi araştırmacılarından biridir ve daha yakın zamanda ProConO’lar ve MultiProg yazılım güvenlik açıkları.

Forescout araştırmalarından bazılarına atıfta bulundu ve ICEFALL analizinin bir bölümünü PLC’lerdeki ProConOS çalışma zamanı ile güvenlik kusurlarına ayırdı.

bir e-postada KayıtWightman, birçok endüstriyel kontrolörün ortadan kalkmayan aynı sorunlara sahip olduğunu kaydetti: “doğrulanmamış kodun PLC’de çalışmasına izin veriyorlar.”

“Bu, PLC’ye yapılan kötü niyetli bir mantık aktarımının PLC’yi kalıcı olarak tehlikeye atabileceği anlamına gelir,” diye ekledi, kontrol mantığı değişikliğe neden olduğundan, normal bir ürün yazılımı güncellemesinin dışında gerçekleşebilir. “Bu, Basecamp günlerinden beri üzerinde durduğum bir şey ama tekrar etmeye değer olabilir. Tekrar tekrar. Muhtemelen güneş sönene kadar.”

Son zamanlarda, Wightman’ın “büyük, kişisel endişelerinden” biri, bazı satıcıların, muhtemelen kaçınmak için, denetleyicileri güvence altına almak için TLS ve istemci sertifikalarını kullanabileceğini söylemesidir. Wightman, gerçekte, bunun trafiği denetlemeyi daha da zorlaştıracağını söyledi.

“Bir saldırgan mühendislik sistemine girerse, CVE-2022-31800/CVE-2022-31801’i (veya hemen hemen her mantık çalışma zamanında var olan benzer sorunlardan herhangi birini) kullanarak denetleyiciye kötü niyetli bir yük yükleyebilir” diye ekledi. . “Yalnızca, trafik şifreli olduğu için bunu yapıp yapmadıklarını söylemenin hiçbir yolu yok.”

Peki sorunu nasıl düzeltebiliriz?

Wightman, “Sanırım cevabım şu olurdu: mühendislik sisteminiz tehlikeye girerse, konuşmasına izin verilen tüm denetleyicileri atın” dedi. “Ve çoğu son kullanıcının bu paranoya seviyesine gideceğinden şüpheliyim.”

Bu da yine, bu sistemlerin nasıl tasarlandığının tasarım gereği güvensiz doğasına işaret ediyor.

Wightman, “Neyse ki, bazı hataların yıllardır iyi bilinmesine rağmen, bu protokollerin veya ‘özelliklerin’ yaygın bir şekilde kötüye kullanıldığına dair herhangi bir işaret görmüyoruz” dedi. “Umarım gerçekten böyle kalır.” ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/07/03/inherent_security_flaws_ics/

Yorum yapın