דו"ח OT:ICEFALL חושף 56 חולשות אבטחה המשפיעות על אלפי מכשירים
מאת:
מערכת Telecom News, 21.6.22, 10:13
החולשות התגלו במוצרי 10 יצרני מערכות בקרה תעשייתיות וניתן לחלק אותן ל-5 קטגוריות של רמות סיכון. זאת אחת החשיפות הגדולות ביותר של חולשות אבטחה, שמקורן בתהליך תכנון אבטחה לקוי (Insecure by design) בשוק מערכות הבקרה התעשייתיות. הדו"ח ממחיש את הבעייתיות של הליקויים בתהליך תכנון האבטחה של מערכות בקרה תעשייתיות ועד כמה משמעותיים הם תהליכי הבדיקה, האישור וניהול הסיכונים.
Vedere Labs, קבוצת המחקר של פורסקאוט (
Forescout) פרסמה היום בשיתוף תהליך גילוי החולשות של
CISA ומערך הסייבר הלאומי (
INCD) את דו"ח
OT:ICEFALL, שחושף 56 חולשות אבטחה המשפיעות על מערכות בקרה תעשייתיות (
OT) של 10 יצרנים מובילים בתחום.
זאת אחת החשיפות הגדולות ביותר של חולשות אבטחה, שמקורן בתהליך תכנון אבטחה לקוי (
Insecure by design) בשוק מערכות הבקרה התעשייתיות.
עשור אחרי פרויקט המחקר
Project Basecamp של
Digital Bond, שחשף את
כשלי האבטחה המובנים בציוד ופרוטוקולי התקשורת, שעליהם מבוססות מערכות בקרה תעשייתיות, וכאשר ברקע מספר מתקפות הסייבר על המערכות האלו באמצעות נוזקות כמו
Industroyer,
TRITON,
Industroyer2 ו־
INCONTROLLER המנצלות את החולשות האלו ממשיך לעלות.
56 חולשות האבטחה המתוארת
בדו"ח הטכני של פורסקאוט התגלו במוצריהם של 10 יצרני מערכות בקרה תעשייתיות, ובהם:
Bently Nevada,
Emerson,
Honeywell,
JTEKT,
Motorola,
Omron,
Phoenix Contact,
Siemens ו־
Yokogawa.
רמת הסיכון של כל חולשה אמנם משתנה בהתאם לתפקיד הציוד, אבל באופן כללי אפשר לחלק אותן ל-5 קטגוריות:
הרצת קוד מרחוק (RCE): חולשות המאפשרות לתוקף להריץ קוד זדוני ולדלות מידע ממערכות הארגון בדרכים שונות גם ללא השתלטות מלאה על המערכת. על פי רוב, מקורה של החולשה הזאת בפרצות אבטחה בקושחה/בקר לוגי שמאפשרות לתוקפים להריץ קוד זדוני באין מפריע.
התקפת מניעת שירות (DoS): חולשה המאפשרת לתוקף להשבית מערכת או למנוע גישה לחלק ממשאביה.
שינויים בקובץ/קושחה/הגדרות מכשיר: חולשה המאפשרת לתוקף לגשת למכשיר ולבצע בו שינויים המשפיעים על תפקודו כמו שינויים בקבצי המערכת, בקושחה או בהגדרות המכשיר. בד"כ, משיגים התוקפים גישה מכיוון שלא קיימת שיטת אימות/ניהול הרשאות מתאימה או בדיקת אימות לשלמות הנתונים, שהיו יכולות למנוע את הגישה למערכת וביצוע השינויים הזדוניים.
גניבת סיסמאות: התוקפים משיגים שמות משתמשים וסיסמאות, כמעט תמיד כי הם אוחסנו או שודרו בצורה לא מאובטחת, ומשתמשים בהם כדי להתחבר למערכת ולבצע בה שינויים.
מעקף אימות: התוקפים מצליחים לעקוף את שיטות האימות ולהשיג גישה למערכת כמשתמש מאומת.
את הרשימה המלאה של המכשירים המושפעים מהחולשות שנחשפו בדו"ח אפשר למצוא
כאן.
חולשות אבטחה בשל תכנון אבטח לקוי (Insecure by design)
חולשות האבטחה, שנחשפו בדו"ח זה, נעות מליקויים מתמשכים בתהליך תכנון מוצרים, שנבדקו וקיבלו אישור מגופי בדיקה בתחום אבטחת הסייבר, ועד לניסיונות כושלים לתקנם.
על בעלי הציוד להבין כיצד הופכים האופי הקנייני וחוסר השקיפות, שאופפת את המערכות האלו, הנטייה לדחוק את הטיפול בחולשות האבטחה לתחתית סדר העדיפויות ותחושת הביטחון המוטעית, שיוצרים האישורים מגופי התיעוד את תהליך ניהול הסיכונים בתחום מערכות הבקרה התעשייתיות למורכב ומסובך יותר.
דניאל דוס סנטוס, ראש מחקר אבטחת הסייבר ב-
Vedere Labs, קבוצת המחקר של פורסקאוט: "זה לא סוד, שמתקפות הסייבר הופכות לרחבות ומגוונות יותר. חיבורן של מערכות
OT, שבעבר לא היו מחוברות לרשת וחשופות לאינטרנט, להתקני
IoT ו־
IT הפך בבת אחת חולשות אבטחה, שקודם לכן נחשבו שוליות למטרה פופולרית עבור פושעי סייבר.
חלפו ע10 שנים מאז פרויקט
Basecamp, וממצאי הדו"ח ממחישים עד כמה ארוכה עדיין הדרך לשיפור אבטחתן של מערכות בקרה תעשייתיות. על רקע הפיכתן של חולשות האבטחה האלו למטרה מבוקשת, עולה הצורך ביכולות ניטור ייעודיות ו־
DPI (Deep Packet Inspection) ברשתות, שאליהן מחוברות מערכות בקרה תעשייתיות".
גם מערך הסייבר הלאומי פרסם על החולשות הללו בציוד OT, שחשפה חברת פורסקאוט- כאן.