„Tervezésénél fogva nem biztonságos” – kritikus ipari vezérlőrendszer sérülékenységeket fedeztek fel

A Forescout kutatói mintegy 56 sebezhetőséget fedeztek fel számos ipari üzemeltetési technológia (Operational Technology) kapcsán. A cég OT:ICEFALL című jelentése ugyanakkor jóval több, mint egy hagyományos CVE „felsorolás”. A jelentés a konkrét hibák technikai leírásán túlmutatóan általános érvényű következtetéseket is levon az OT rendszerek biztonsági helyzetéről, ami továbbra is legtömörebben a közel egy évtizedes szállóigével jellemzhető: „insecure by design” ─ azaz tervezésénél fogva nem biztonságos.

 

Az egyik ilyen fontos és aggasztó megállapítás, hogy a vizsgált eszközcsaládok többsége (74%)  átesett valamiféle biztonsági minősítésen, de az is lényeges megfigyelés, hogy az offenzív képességek kifejlesztése a kutatók szerint sokkal inkább kivitelezhető, mint azt korábban gondolták. Egyetlen szabadalmaztatott protokoll visszafejtése egy nap és két hét közötti idő alatt megvalósítható volt, míg az összetett, több protokollt tartalmazó rendszerek esetében ez öt-hat hónapig tartott.

A konkrét sérülékenységben érintett eszközök

A sérülékenységekben többek közt olyan népszerű gyártók egyes termékei is érintettek, mint például a Honeywell, a Motorola vagy a Siemens ─ a teljes lista alább található. A sebezhető eszközöket széles körben alkalmazzák többféle iparágban is, mint például az olaj-, gáz- és nukleáris ipar, gyártás, vízügy, bányászat vagy például az épitőipar.

Gyártó Modell Eszköztípus
Bently Nevada  3700, TDI equipment  Condition monitors 
Emerson  DeltaV  Distributed control system 
Emerson  Ovation  Distributed control system 
Emerson  OpenBSI  Engineering Workstation 
Emerson  ControlWave, BB 33xx, ROC  Remote terminal unit 
Emerson  Fanuc, PACsystems  Programmable logic controller 
Honeywell  Trend IQ*  Building controller 
Honeywell  Safety Manager FSC  Safety instrumented system 
Honeywell  Experion LX  Distributed control system 
Honeywell  ControlEdge  Remote terminal unit 
Honeywell  Saia Burgess PCD  Programmable logic controller 
JTEKT  Toyopuc  Programmable logic controller 
Motorola  MOSCAD, ACE IP gateway  Remote terminal unit 
Motorola  MDLC  Protocol 
Motorola  ACE1000  Remote terminal unit 
Motorola  MOSCAD Toolbox STS  Engineering workstation 
Omron  SYSMAC Cx series, Nx series  Programmable logic controller  
Phoenix Contact  ProConOS  Logic runtime 
Siemens  WinCC OA  Supervisory control and data acquisition (SCADA) 
Yokogawa  STARDOM  Programmable logic controller 

A jelentés alapján az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) végül összesen öt riasztást adott ki, amelyek közül három ─ Phoenix Contact és Siemens eszközöket érintő ─ kritikus kockázati besorolású, amelyek kapcsán a CISA megekrülő intézkedéseket is közölt.

OT rendszerüzemeltetők számára javasolt elvégezni a Forescout jelentésében, valamint a CISA által közzétett figyelmeztetésekben szereplő biztonsági javaslatokat és megkerülő intézkedéseket, emellett ajánlott a Forescout ingyenes webinárjainak megtekintése is.

(zdnet.com)