Ngademin Pegiat Teknologi

CISA memperingatkan kelemahan perangkat lunak dalam sistem kontrol industri

2 min read

cisa memperingatkan kelemahan perangkat lunak dalam sistem kontrol industri

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memperingatkan organisasi untuk memeriksa kerentanan yang baru-baru ini diungkapkan yang memengaruhi perangkat teknologi operasional (OT) yang seharusnya, tetapi tidak selalu, diisolasi dari Internet.

CISA memiliki Publikasikan lima pengumuman Mencakup berbagai kerentanan yang ditemukan oleh peneliti Forescout yang memengaruhi sistem kontrol industri.

Forescout merilis laporannya “OT:ICEFALL” minggu ini, yang mencakup serangkaian masalah keamanan umum dalam perangkat lunak perangkat teknologi operasional (OT). Kerentanan yang mereka ungkapkan memengaruhi perangkat dari Honeywell, Motorola, Siemens, dan lainnya.

OT adalah bagian dari Internet of Things (IoT). OT mencakup sistem kontrol industri (ICS) yang dapat terhubung ke Internet, sedangkan kategori IoT yang lebih luas mencakup produk konsumen seperti TV, bel pintu, dan router.

Detail prakiraan 56 kerentanan dalam satu laporan Soroti pertanyaan yang sering diajukan ini.

CISA telah mengeluarkan lima Penasihat Sistem Kontrol Industri (ICSA) yang sesuai, yang konon memberikan pemberitahuan tentang kerentanan yang dilaporkan dan mengidentifikasi mitigasi dasar untuk mengurangi risiko ini dan serangan keamanan siber lainnya.

Rekomendasi tersebut mencakup perincian cacat serius yang memengaruhi perangkat lunak JTEKT Jepang, tiga cacat yang memengaruhi peralatan Phoenix Contact pemasok AS, dan satu cacat yang memengaruhi produk dari Siemens AG Jerman.

ICSA-22-172-02 Konsultasi JTEKT Detail kelemahan autentikasi dan eskalasi hak istimewa tidak ada. Ini berada pada skala keparahan 7-2 dari 10.

Cacat yang mempengaruhi perangkat Phoenix dirinci dalam buletin ICSA-22-172-03 Pengontrol Garis Klasik Kontak Phoenix; ICSA-22-172-04 untuk Phoenix Hubungi ProConOS dan MULTIPROG; dan ICSA-22-172-05: Phoenix Contact Pengontrol Industri Seri Klasik.

Perangkat lunak Siemens dengan kerentanan kritis dirinci dalam buletin ICSA-22-172-06 Siemens WinCC OAIni adalah kerentanan yang dapat dieksploitasi dari jarak jauh dengan skor keparahan 9,8 dari 10.

“Eksploitasi yang berhasil dari kerentanan ini dapat memungkinkan penyerang untuk menyamar sebagai pengguna lain atau mengeksploitasi protokol client-server tanpa otentikasi,” catat CISA.

Perangkat OT seharusnya memiliki celah udara di jaringan, tetapi ini sering tidak terjadi, memberikan penyerang dunia maya yang canggih jangkauan penetrasi yang lebih luas.

56 kerentanan yang diidentifikasi oleh Forescount terbagi dalam empat kategori besar, termasuk protokol teknik yang tidak aman, enkripsi yang lemah atau skema otentikasi yang rusak, pembaruan firmware yang tidak aman, dan eksekusi kode jarak jauh melalui kemampuan asli.

Perusahaan menerbitkan kerentanan (CVE) sebagai kumpulan untuk menggambarkan bahwa kekurangan dalam pasokan perangkat keras infrastruktur kritis adalah masalah umum.

“Dengan OT:ICEFALL, kami ingin mengungkapkan dan memberikan gambaran kuantitatif kerentanan desain tidak aman OT, daripada mengandalkan satu produk atau serangkaian kecil wabah CVE berkala yang sering terjadi di depan umum, peristiwa dunia nyata karena spesifik vendor atau aset Pemilik bersalah dan berpaling,” kata penyerang.

“Tujuannya adalah untuk mengilustrasikan bagaimana sifat buram dan kepemilikan dari sistem ini, manajemen kerentanan suboptimal di sekitarnya, dan rasa aman yang sering salah yang diberikan oleh sertifikasi dapat secara signifikan memperumit upaya manajemen risiko PL,” katanya.

sebagai perusahaan Detail di posting blogada beberapa kesalahan umum yang perlu diperhatikan oleh pengembang:

  • Cacat desain yang tidak aman berlimpah: Lebih dari sepertiga kerentanan (38%) mengizinkan kredensial yang disusupi, dengan manipulasi firmware kedua (21%) dan eksekusi kode jarak jauh ketiga (14%).
  • Produk yang rentan sering kali disertifikasi: 74% keluarga produk yang terpengaruh memiliki beberapa bentuk sertifikasi keamanan, dan sebagian besar masalah yang diperingatkan seharusnya ditemukan relatif cepat selama proses penemuan kerentanan mendalam. Faktor yang berkontribusi terhadap masalah ini termasuk cakupan evaluasi yang terbatas, definisi keamanan yang tidak jelas, dan fokus pada pengujian fungsional.
  • Manajemen risiko diperumit oleh kurangnya CVE: Mengetahui bahwa perangkat atau protokol tidak aman tidaklah cukup. Untuk membuat keputusan manajemen risiko yang terinformasi, pemilik aset perlu mengetahui seberapa tidak aman komponen-komponen ini. Masalah yang dianggap tidak aman menurut desain tidak selalu diberikan pada CVE, sehingga seringkali kurang jelas dan dapat ditindaklanjuti daripada yang seharusnya.
  • Ada komponen rantai pasokan yang tidak dirancang untuk aman: Kerentanan dalam komponen rantai pasokan OT sering kali tidak dilaporkan oleh setiap produsen yang terpengaruh, yang menyebabkan kesulitan dalam manajemen risiko.
  • Tidak semua desain yang tidak aman diciptakan sama: Tidak ada sistem yang dianalisis mendukung tanda tangan logika, dan sebagian besar (52%) mengompilasi logikanya ke kode mesin asli. 62% dari sistem ini menerima unduhan firmware melalui Ethernet, sementara hanya 51% yang memiliki otentikasi untuk fitur ini.
  • Kemampuan menyerang lebih mudah dikembangkan daripada yang sering dipikirkan: 1 hari hingga 2 minggu untuk merekayasa balik satu protokol berpemilik, dan 5 hingga 6 bulan untuk merekayasa balik sistem multi-protokol yang kompleks.
Ngademin Pegiat Teknologi