Έχει δημοσιευθεί μια αναφορά ασφαλείας για ένα σύνολο 56 ευπαθειών που ονομάζονται συλλογικά Icefall και επηρεάζουν τον εξοπλισμό επιχειρησιακής τεχνολογίας (OT) που χρησιμοποιείται σε διάφορα κρίσιμα περιβάλλοντα υποδομής.
Δείτε επίσης: BidenCash: Νέο site πουλά στοιχεία πιστωτικών καρτών για $0.15
Η συλλογή ευπαθειών Icefall ανακαλύφθηκε από ερευνητές ασφαλείας στα εργαστήρια Vedere της Forescout και επηρεάζει συσκευές από δέκα vendors. Ο τύπος των ελαττωμάτων ασφαλείας που περιλαμβάνονται επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα, τα παραβιασμένα credentials, τις αλλαγές firmware και configuration, την παράκαμψη ελέγχου ταυτότητας και τον χειρισμό λογικής.
Οι επηρεαζόμενοι προμηθευτές είναι οι Honeywell, Motorola, Omron, Siemens, Emerson, JTEKT, Bentley Nevada, Phoenix Contract, ProConOS και Yokogawa. Έχουν ειδοποιηθεί μέσω μιας ενημέρωσης που συντονίζει η Phoenix Contact, η CERT VDE και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA).
Τα τελευταία χρόνια, ο τύπος συστημάτων που επηρεάζονται από το Icefall έχει γίνει πιο συχνός στόχος του εξειδικευμένου κακόβουλου λογισμικού Industroyer 2 και του CaddyWiper, που αναπτύχθηκαν πριν από πολύ καιρό από Ρώσους χάκερ εναντίον ουκρανικών σταθμών ηλεκτροπαραγωγής.
Δείτε επίσης: Flagstar Bank: Παραβίαση δεδομένων επηρεάζει 1,5 εκατομμύρια πελάτες
Επισκόπηση των τρωτών σημείων
Τα ελαττώματα που ανακαλύφθηκαν από τα εργαστήρια Vedere αφορούν κυρίως την ασφάλεια των credentials, το firmware manipulation και την απομακρυσμένη εκτέλεση κώδικα.
Η Forescout σημειώνει στην έκθεσή της ότι “πολλά τρωτά σημεία οφείλονται στην επισφαλή φύση των OT”, προσθέτοντας επίσης ότι “πολλά συστήματα ελέγχου ταυτότητας έχουν παραβιαστεί“, γεγονός που δείχνει ανεπαρκείς ελέγχους ασφαλείας στο στάδιο της υλοποίησης.
Ως παράδειγμα, οι ερευνητές επισημαίνουν ότι πολλές συσκευές χρησιμοποιούσαν plaintext credentials, αδύναμο ή κατεστραμμένο cryptography, hardcoded keys και έλεγχο ταυτότητας από την πλευρά του client.
Αυτά τα ελαττώματα ελέγχου ταυτότητας ανοίγουν το δρόμο για τους απειλητικούς παράγοντες για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα (RCE) και συνθήκη DoS ή εγκατάσταση κακόβουλων firmware images. Ο άμεσος επιχειρησιακός χειρισμός με την έκδοση εντολών στις συσκευές-στόχους ή σε αυτές που βρίσκονται πίσω από αυτές είναι ένας άλλος κίνδυνος που επισημαίνουν οι ερευνητές.
Πιθανές συνέπειες
Το Icefall επηρεάζει ένα ευρύ φάσμα συσκευών που χρησιμοποιούνται σε πολυάριθμους βιομηχανικούς τομείς, καθιστώντας τις ιδιαίτερα ελκυστικές, ειδικά για τους χάκερ που χρηματοδοτούνται από το κράτος.
Μερικά σενάρια που η Forescout λέει ότι θα μπορούσαν να προκύψουν από τους απειλητικούς παράγοντες που αξιοποιούν το Icefall περιλαμβάνουν τη δημιουργία ψευδών συναγερμών, την αλλαγή των σημείων flow setpoints, τη διακοπή των λειτουργιών SCADA ή την απενεργοποίηση συστημάτων έκτακτης ανάγκης και πυρασφάλειας.
Δείτε επίσης: Μια διακοπή του Cloudflare έπληξε πολλές δημοφιλείς υπηρεσίες
Για να δείξουν τα ευρήματά τους και το δυναμικό κινδύνου, οι ερευνητές χρησιμοποίησαν μια παραγωγή αιολικής ενέργειας και ένα σύστημα μεταφοράς φυσικού αερίου, δείχνοντας πού εντοπίζονται τα διάφορα ελαττώματα του Icefall και πώς θα μπορούσαν να αλυσοδεθούν για να επιτύχουν βαθύτερα επίπεδα compromise.
Οι επηρεαζόμενες συσκευές είναι διασκορπισμένες σε όλο τον κόσμο. Οι αναλυτές χρησιμοποίησαν το Shodan για να σαρώσουν το διαδίκτυο για εκτεθειμένα ευάλωτα συστήματα και βρήκαν τα ακόλουθα έξι κορυφαία:
- Honeywell Saia Burgess – 2924 συσκευές σε Ιταλία, Γερμανία, Ελβετία, Σουηδία και Γαλλία.
- Ελεγκτές Omron – 1305 συσκευές σε όλη την Ισπανία, τον Καναδά, τη Γαλλία, τις ΗΠΑ και την Ουγγαρία.
- Phoenix Contact DDI – 705 συσκευές σε Ιταλία, Γερμανία, Ινδία, Ισπανία και Τουρκία.
- ProConOS SOCOMM – 236 συσκευές σε Κίνα, ΗΠΑ, Γερμανία, Σιγκαπούρη και Χονγκ Κονγκ.
- Honeywell Trend Controls – 162 συσκευές σε Γαλλία, Δανία, Ιταλία, Ισπανία και Ηνωμένο Βασίλειο.
- Emerson Fanuc /PACSystems – 60 συσκευές στις ΗΠΑ, τον Καναδά, την Πολωνία, την Ταϊβάν και την Ισπανία.
Συγκεκριμένα, το 74% των ευάλωτων οικογενειών προϊόντων είχαν πιστοποιηθεί για την ασφάλειά τους, γεγονός που αντικατοπτρίζει ότι αυτές οι διαδικασίες δεν είναι αλάνθαστες.
Δυνατότητες μετριασμού
Η κύρια σύσταση ασφαλείας είναι να εφαρμόσετε τις πιο πρόσφατες ενημερώσεις firmware από τον προμηθευτή. Προς το παρόν, ωστόσο, δεν έχουν κυκλοφορήσει όλοι οι αναφερόμενοι προμηθευτές διορθώσεις για το Icefall και υπάρχουν επίσης μεταγενέστεροι προμηθευτές που πρέπει να λάβουν μέτρα.
Μέχρι να γίνει διαθέσιμη ή να εγκατασταθεί μια ενημέρωση κώδικα, συνιστάται στους διαχειριστές συστήματος να τμηματοποιούν το δίκτυο και να παρακολουθούν την κυκλοφορία και τη δραστηριότητα της συσκευής.
Συνιστάται στις εταιρείες να ακολουθούν τις συμβουλές ασφαλείας από κάθε προμηθευτή για να μάθουν περισσότερες λεπτομέρειες σχετικά με τον συγκεκριμένο αντίκτυπο που έχει κάθε ευπάθεια σε ένα επηρεαζόμενο προϊόν.
Πηγή πληροφοριών: bleepingcomputer.com
