Gần 5 chục lỗ hổng bảo mật đã được tiết lộ trong các thiết bị của 10 nhà cung cấp công nghệ hoạt động (OT) do cái mà các nhà nghiên cứu gọi là “các phương pháp thiết kế không an toàn”.
Được gọi chung là OT: ICEFALL của Forescout, 56 vấn đề kéo dài tới 26 kiểu thiết bị từ Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens và Yokogawa.
“Khai thác các lỗ hổng này, những kẻ tấn công có quyền truy cập mạng vào thiết bị mục tiêu có thể thực thi mã từ xa, thay đổi logic, tệp hoặc phần sụn của thiết bị OT, bỏ qua xác thực, xâm phạm thông tin xác thực, gây ra từ chối dịch vụ hoặc có nhiều tác động hoạt động”, công ty cho biết trong một báo cáo kỹ thuật.
Những lỗ hổng này có thể gây ra những hậu quả tai hại khi các sản phẩm bị ảnh hưởng được sử dụng rộng rãi trong các ngành cơ sở hạ tầng quan trọng như dầu khí, hóa chất, hạt nhân, sản xuất và phân phối điện, sản xuất, xử lý và phân phối nước, khai thác mỏ và tự động hóa tòa nhà.
Trong số 56 lỗ hổng được phát hiện, 38% cho phép xâm phạm thông tin xác thực, 21% cho phép thao tác phần sụn, 14% cho phép thực thi mã từ xa và 8% lỗ hổng cho phép giả mạo thông tin cấu hình.
Bên cạnh khả năng cho phép kẻ tấn công cung cấp mã tùy ý và thực hiện các sửa đổi trái phép đối với phần sụn, các điểm yếu cũng có thể được tận dụng để đưa một thiết bị hoàn toàn ngoại tuyến và bỏ qua các chức năng xác thực hiện có để gọi bất kỳ chức năng nào trên các mục tiêu.
Quan trọng hơn, các sơ đồ xác thực bị hỏng – bao gồm bỏ qua, sử dụng các giao thức mật mã rủi ro và thông tin xác thực bản rõ và bản cứng – chiếm 22 trong số 56 lỗ hổng, cho thấy “kiểm soát bảo mật phụ” trong quá trình thực hiện.
Trong một kịch bản giả định của thế giới thực, những thiếu sót này có thể được vũ khí hóa chống lại các đường ống dẫn khí đốt tự nhiên, tuabin gió hoặc dây chuyền lắp ráp sản xuất rời rạc để làm gián đoạn việc vận chuyển nhiên liệu, ghi đè cài đặt an toàn, ngăn chặn khả năng điều khiển các trạm máy nén và thay đổi hoạt động của logic lập trình bộ điều khiển (PLC).
Nhưng các mối đe dọa không chỉ là lý thuyết. Trên thực tế, một lỗ hổng thực thi mã từ xa ảnh hưởng đến bộ điều khiển Omron NJ / NX (CVE-2022-31206) đã được khai thác bởi một tác nhân phù hợp với nhà nước có tên CHERNOVITE để phát triển một phần mềm độc hại phức tạp có tên PIPEDREAM (hay còn gọi là INCONTROLLER).
Việc quản lý rủi ro phức tạp là sự kết nối ngày càng tăng giữa các mạng CNTT và OT, cùng với bản chất không rõ ràng và độc quyền của nhiều hệ thống OT, chưa kể đến việc không có CVE, khiến các vấn đề kéo dài trở nên vô hình cũng như giữ lại các tính năng không an toàn như thiết kế cho một thời gian dài.
Để giảm thiểu OT: ICEFALL, bạn nên phát hiện và kiểm kê các thiết bị dễ bị tấn công, thực thi phân đoạn nội dung OT, theo dõi lưu lượng mạng để tìm hoạt động bất thường và mua các sản phẩm an toàn theo thiết kế để củng cố chuỗi cung ứng.
Các nhà nghiên cứu cho biết: “Sự phát triển của phần mềm độc hại gần đây nhắm vào cơ sở hạ tầng quan trọng, chẳng hạn như Industroyer2, Triton và INCONTROLLER, đã cho thấy rằng các tác nhân đe dọa nhận thức được sự không an toàn theo bản chất thiết kế của công nghệ hoạt động và sẵn sàng khai thác nó để tàn phá”.
“Bất chấp vai trò quan trọng mà các nỗ lực tăng cường theo tiêu chuẩn đóng trong bảo mật OT, các sản phẩm có các tính năng không an toàn theo thiết kế và các biện pháp kiểm soát bảo mật bị lỗi nhỏ vẫn tiếp tục được chứng nhận.”
.
