דוח OT:ICEFALL חושף 56 חולשות אבטחה המשפיעות על אלפי מכשירים

יום ג', 21 ביוני 2022

 

Vedere Labs, קבוצת המחקר של פורסקאוט (Forescout) מפרסמת  בשיתוף תהליך גילוי החולשות של CISA ומערך הסייבר הלאומי (INCD) – את דוח OT:ICEFALL החושף 56 חולשות אבטחה המשפיעות על מערכות בקרה תעשייתיות (OT) של 10 יצרנים מובילים בתחום. זאת אחת החשיפות הגדולות ביותר של חולשות אבטחה שמקורן בתהליך תכנון אבטחה לקוי (Insecure by design) בשוק מערכות הבקרה התעשייתיות.

עשור אחרי פרויקט המחקר Project Basecamp של Digital Bond שחשף את כשלי האבטחה המובנים בציוד ופרוטוקולי התקשורת שעליהם מבוססות מערכות בקרה תעשייתיות, וכאשר ברקע מספר מתקפות הסייבר על המערכות האלו באמצעות נוזקות כמו Industroyer, TRITON, Industroyer2 ו-INCONTROLLER המנצלות את החולשות האלו ממשיך לעלות.

 

"זה לא סוד שמתקפות הסייבר הופכות לרחבות ומגוונות יותר. חיבורן של מערכות OT, שבעבר לא היו מחוברות לרשת וחשופות לאינטרנט, להתקני IoT ו-IT הפך בבת אחת חולשות אבטחה שקודם לכן נחשבו שוליות למטרה פופולרית עבור פושעי סייבר," מסביר דניאל דוס סנטוס, ראש מחקר אבטחת הסייבר ב-Vedere Labs, קבוצת המחקר של פורסקאוט. "חלפו עשר שנים מאז פרויקט Basecamp, וממצאי דוח ICEFALL ממחישים עד כמה ארוכה עדיין הדרך לשיפור אבטחתן של מערכות בקרה תעשייתיות. על רקע הפיכתן של חולשות האבטחה האלו למטרה מבוקשת, עולה הצורך ביכולות ניטור ייעודיות ו-DPI (Deep Packet Inspection) ברשתות שאליהן מחוברות מערכות בקרה תעשייתיות."

 

56 חולשות האבטחה המתוארת בדוח הטכני של פורסקאוט התגלו במוצריהם של עשרה יצרני מערכות בקרה תעשייתיות, ובהם: Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens ו?Yokogawa. 

רמת הסיכון של כל חולשה אמנם משתנה בהתאם לתפקיד הציוד, אבל באופן כללי אפשר לחלק אותן לחמש קטגוריות:

הרצת קוד מרחוק (RCE): חולשות המאפשרות לתוקף להריץ קוד זדוני ולדלות מידע ממערכות הארגון בדרכים שונות גם ללא השתלטות מלאה על המערכת. על פי רוב, מקורה של החולשה הזאת בפרצות אבטחה בקושחה/בקר לוגי שמאפשרות לתוקפים להריץ קוד זדוני באין מפריע.

התקפת מניעת שירות (DoS): חולשה המאפשרת לתוקף להשבית מערכת או למנוע גישה לחלק ממשאביה.

שינויים בקובץ/קושחה/הגדרות מכשיר: חולשה המאפשרת לתוקף לגשת למכשיר ולבצע בו שינויים המשפיעים על תפקודו כמו שינויים בקבצי המערכת, בקושחה או בהגדרות המכשיר. בדרך כלל, משיגים התוקפים גישה מכיוון שלא קיימת שיטת אימות/ניהול הרשאות מתאימה או בדיקת אימות לשלמות הנתונים שהיו יכולות למנוע את הגישה למערכת וביצוע השינויים הזדוניים.

גניבת סיסמאות: התוקפים משיגים שמות משתמשים וסיסמאות, כמעט תמיד כי הם אוחסנו או שודרו בצורה לא מאובטחת, ומשתמשים בהם כדי להתחבר למערכת ולבצע בה שינויים.

מעקף אימות: התוקפים מצליחים לעקוף את שיטות האימות ולהשיג גישה למערכת כמשתמש מאומת. 

חולשות האבטחה שנחשפו בדוח זה נעות מליקויים מתמשכים בתהליך תכנון מוצרים שנבדקו וקיבלו אישור מגופי בדיקה בתחום אבטחת הסייבר ועד לניסיונות כושלים לתקנם.