0
0
Uma nova análise de dados de várias fontes descobriu um total de 56 vulnerabilidades em produtos OT de 10 fornecedores, incluindo notáveis como Honeywell, Siemens e Emerson.
Muitas das vulnerabilidades são o resultado de os fornecedores de dispositivos não incluirem mecanismos básicos de segurança, como autenticação e criptografia, em suas tecnologias. Muitas vezes, eles existem em produtos mais antigos que os proprietários de ativos continuam a usar, embora opções mais seguras estejam disponíveis. Significativamente, as vulnerabilidades estão presentes em produtos que passaram por algum tipo de processo de auditoria e foram certificados como seguros para redes OT, descobriu um novo estudo da Forescout.
Pesquisadores do Vedere Labs da Forescout descobriram as vulnerabilidades dos dados que coletaram por meio de inteligência de código aberto, consultas de mecanismos de pesquisa Shodan e redes de clientes. As vulnerabilidades existem em produtos e protocolos amplamente utilizados em uma variedade de setores críticos de infraestrutura, como petróleo e gás, química, nuclear e geração de energia. O fornecedor de segurança divulgou um relatório na terça-feira destacando as principais descobertas de seu estudo.
As vulnerabilidades – coletivamente rotuladas como “OT: Icefall” – surgiram de quatro razões principais: protocolos de engenharia inseguros, criptografia fraca ou mecanismos de autenticação quebrados, atualizações de firmware inseguras e funções nativas que permitiram a execução remota de código. Os bugs permitiram uma variedade de atividades maliciosas, incluindo execução remota de código, ataques de negação de serviço, manipulação de arquivos e configurações, desvio de autenticação e roubo de credenciais. Os dispositivos afetados incluíam controladores lógicos programáveis, unidades terminais remotas, estações de trabalho de engenharia, sistemas de controle de distribuição e um sistema de controle de supervisão e aquisição de dados (SCADA).
Inseguro por Design
As falhas não foram introduzidas por erros de programação e codificação, diz Daniel dos Santos, chefe de pesquisa de segurança da Forescout. Em vez disso, as tecnologias são vulneráveis a ataques porque são inseguras por design, diz Santos. Eles geralmente não possuem controles críticos, como os necessários para autenticar usuários e ações, criptografar dados e verificar se as atualizações de firmware e o software são assinados e verificados. Quando esses mecanismos estão presentes, eles geralmente são fracos e facilmente hackeados ou seriamente prejudicados por outros problemas, como a presença de credenciais codificadas e de texto simples no dispositivo, aleatoriedade insuficiente e criptografia quebrada, ou recursos que permitem gravações arbitrárias de arquivos, diz ele.
“Embora seja uma diferença semântica e acabe com as mesmas vulnerabilidades, não é tanto que eles são ‘inseguros por design’, mas são projetados sem segurança como consideração”, diz Mike Parkin, engenheiro técnico sênior da Vulcan Cyber. “A segurança mais forte foi incorporada em equipamentos OT mais novos, mas ainda há muito kit por aí, onde simplesmente não era uma consideração.”
Em muitos casos, a tecnologia OT foi projetada com a ideia de que seria isolada, protegida do acesso externo e não exposta a nada além de seu ambiente operacional. “Infelizmente, o mundo real não estava tão claramente definido”, diz ele.
A previsão encontrou inúmeras instâncias de vulnerabilidades ligadas a um design ruim. Por exemplo, 38% das vulnerabilidades que a Forescout descobriu permitiram o comprometimento das credenciais, e 21% deram aos atacantes uma maneira de introduzir firmware envenenado no ambiente. Quatorze por cento das falhas resultaram de funcionalidades nativas – como downloads de lógica, atualizações de firmware e operações de leitura/gravação de memória – que deram aos atacantes uma maneira de executar código malicioso remotamente em sistemas OT.
Por exemplo, nenhum dos sistemas afetados suportava assinatura lógica, 62% aceitavam downloads de firmware via Ethernet e 51% autenticavam esses downloads. Nove das 56 falhas que Forescout descobriu estavam relacionadas a protocolos não autenticados.
(Não) Certificado de Segurança
Perturbadormente, quase três quartos — 74% — das famílias de produtos vulneráveis tinham algum tipo de certificação em relação à sua adequação para uso em ambientes críticos de AT. Exemplos de tais certificações incluem ISASecure Component Security Assurance, ISASecure System Security Assurance (SSA), GE Achilles Communications Certification e ANSSI Certification de Sécurité de Premier Niveau.
O fato de os produtos vulneráveis terem sido certificados como compatíveis com esses padrões sugere que as avaliações de produtos provavelmente foram limitadas em escopo, foram muito focadas em testes funcionais ou foram incomodadas por definições de segurança opacas, disse Forescout.
A presença de vulnerabilidades decorrentes de um design inseguro em dispositivos e protocolos OT é preocupante por causa do crescente interesse do atacante nesses ambientes, diz Santos. Ele aponta malware específico para ICS e OT, como Industroyer, Triton e Incontroller, como evidência dos recursos cada vez mais sofisticados que os atacantes começaram a implantar no ataque às instalações do ICS e OT.
“Ainda há essa noção persistente de que os atacantes não entendem o ambiente ou a tecnologia OT proprietária”, diz Santos.
Isso simplesmente não é verdade, diz ele. Atores estaduais e até mesmo grupos de ransomware com recursos de bem recursos demonstraram sua capacidade de acessar ambientes OT. Informações detalhadas sobre ambientes OT também estão disponíveis em domínio público e equipamentos para testar ataques estão facilmente disponíveis nos mercados de produtos de tecnologia usados, observa ele.
“Os ambientes OT/ICS e IoT estão se tornando os alvos preferidos pelos cibercriminosos, por muitas razões”, diz Bud Broomhead, CEO da Viakoo.
Entre eles está o uso crescente de componentes vulneráveis de código aberto — como o Log4j — em ambientes OT/ICS e o fato de que os sistemas geralmente são gerenciados fora do departamento de TI.
“Muitas vezes, as equipes OT/ICS não têm as habilidades de TI para manter a higiene cibernética completa” e estão focadas em questões operacionais, diz Broomhead. Como resultado, há pouca supervisão sobre as práticas de correção e o gerenciamento de senhas. Os dispositivos OT/ICS também não são visíveis para a TI ou, às vezes, para as organizações que os gerenciam.
Outro problema é que os dispositivos são frequentemente usados muito além do prazo de suporte do fabricante.
“Muitos dispositivos OT/ICS estão em operação após o momento em que o fabricante está suportando patches ou atualizações”, diz Broomhead. “As soluções de segurança usadas para sistemas de TI não funcionam para ambientes OT/ISC. Os dispositivos OT/ICS não aceitam agentes e, portanto, as organizações devem implementar soluções, como patches, gerenciamento de certificados e rotações de senhas especificamente projetadas para ambientes OT/ISC.”
Parkin também insta as organizações a prestar atenção às práticas fundamentais de segurança, como manter os patches atualizados e implementar a segmentação e o isolamento adequados da rede para manter os ambientes OT e ICS longe do acesso público.
“As plataformas de gerenciamento e controle devem ter isolamento e autenticação adequados, incluindo autenticação multifatorial, e deve haver algum tipo de monitoramento de tráfego para garantir que [OT] esteja sendo acessado apenas por usuários autorizados de locais autorizados”, diz ele.
FONTE: DARK READING