Les dernières recherches sur la sécurité des menaces dans les technologies opérationnelles (OT) et les systèmes industriels ont identifié un tas de problèmes – 56 pour être specific – que les criminels pourraient utiliser pour lancer des cyberattaques contre des infrastructures critiques.
Mais beaucoup d’entre eux sont irréparables, en raison de protocoles et de conceptions architecturales non sécurisés. Et cela satisfied en évidence un problème de sécurité additionally vital avec les appareils qui contrôlent les réseaux électriques et maintiennent l’eau propre qui coule à travers les robinets, selon certains professionals en cybersécurité industrielle.
“Les systèmes de contrôle industriels présentent ces vulnérabilités inhérentes”, a déclaré Ron Fabela, directeur system de la société de cybersécurité OT SynSaber. Le registre. “C’est juste comme ça qu’ils ont été conçus. Ils n’ont pas de correctifs au sens traditionnel comme, oh, Windows a une vulnérabilité, appliquez ce KB.”
Dans une étude publiée la semaine dernière, les laboratoires Vedere de Forescout ont détaillé 56 bogues dans des appareils construits par dix fournisseurs et nommés collectivement les failles de sécurité OT:ICEFALL.
Comme l’ont reconnu les auteurs du rapport, bon nombre de ces failles résultent de la conception de produits OT sans contrôles de sécurité de foundation. En effet, l’analyse de Forescout intervient dix ans après celle de Electronic Bond Camp de foundation du projet qui a également examiné les appareils et protocoles OT et les a jugés “non sécurisés par conception”.
Quelques heures après que Forescout a publié ses recherches, CISA Publié ses propres avertissements de sécurité liés aux vulnérabilités OT:ICEFALL.
CVE : le problème ? Ou le correctif ?
“Jusqu’à présent, aucun CVE n’a été généré pour ces éléments non sécurisés par conception, et il y a une raison à cela”, a déclaré Fabela. “C’est mauvais pour l’industrie.”
Une fois qu’un CVE est généré, il déclenche une série d’actions par les opérateurs de systèmes industriels, en particulier dans les secteurs fortement réglementés comme les services publics d’électricité et les oléoducs et gazoducs.
Tout d’abord, ils doivent déterminer si l’environnement contient des produits concernés. Mais contrairement à l’informatique d’entreprise, qui a généralement une visibilité et un contrôle centralisés sur les actifs informatiques, dans les environnements OT, “tout est distribué”, a noté Fabela.
Si les environnements industriels et de fabrication ont des produits touchés par la vulnérabilité, cela déclenche un examen interne et un processus réglementaire qui implique de répondre à CISA et d’élaborer un prepare pour améliorer la sécurité.
Un shopper de SynSaber a décrit sarcastiquement OT:ICEFALL comme “le cadeau qui continue de donner”, a déclaré Fabela. “Il a dit:” Maintenant, j’ai cela en additionally de tous mes autres, les vraies vulnérabilités “”, ce qui présente une multitude d’autres problèmes en matière de correctifs – comme devoir attendre une interruption de upkeep planifiée qui peut durer des mois out – si le fabricant a un patch du tout.
Les protocoles OT n’utilisent pas l’authentification
Par exemple : Le courant Protocole Modbusqui est très couramment utilisé dans les environnements industriels, n’a pas d’authentification.
L’analyse de Forescout détaille neuf vulnérabilités liées à des protocoles non authentifiés et conteste l’argument contre l’attribution d’un identifiant CVE à un produit avec un protocole OT d’insécurité.
“Au contraire, nous pensons qu’un CVE est un marqueur reconnu par la communauté qui contribue à la visibilité et à l’actionnabilité des vulnérabilités en aidant les fournisseurs à résoudre les problèmes et les propriétaires d’actifs à évaluer les risques et à appliquer des correctifs”, ont écrit les auteurs.
Bien que cela ait du sens du level de vue de la sécurité informatique, Fabela a déclaré que c’était irréaliste du issue de vue de l’OT et qu’en fin de compte, cela ne rendait pas l’infrastructure critique as well as sûre.
Modbus, en tant que protocole qui n’utilise pas d’authentification, pourrait générer des “milliers” de CVE qui “affectent toutes les gammes de produits dans le monde”, a-t-il ajouté. “Vous immobilisez les équipes de sécurité des produits avec les OEM et vous immobilisez les clients, les propriétaires d’actifs avec CVE contre lesquels ils ne peuvent rien faire.”
Un chercheur de Basecamp donne son avis
Reid Wightman est un chercheur principal sur les vulnérabilités au sein de l’équipe de renseignements sur les menaces du magasin de sécurité OT Dragos. Il est également l’un des premiers chercheurs du projet Basecamp et, in addition récemment, il a travaillé sur le Vulnérabilités logicielles ProConOs et MultiProg.
Forescout a cité certaines de ses recherches et a consacré une section de l’analyse ICEFALL aux failles de sécurité avec le runtime ProConOS dans les API.
Dans un courriel à Le registreWightman a noté que de nombreux contrôleurs industriels ont le même ensemble de problèmes qui ne disparaissent pas : “ils permettent à du code non authentifié de s’exécuter sur l’automate”.
“Cela signifie qu’un seul transfert de logique malveillante vers l’automate peut compromettre de manière permanente l’automate”, a-t-il ajouté, notant que, comme la logique de contrôle est à l’origine du changement, cela peut se produire en dehors d’une mise à jour normale du micrologiciel. “C’est une sorte de chose sur laquelle j’ai insisté depuis l’époque de Basecamp, mais cela vaut peut-être la peine de le répéter. Encore et encore. Jusqu’à ce que le soleil s’éteigne, probablement.”
Dernièrement, l’une des “grandes préoccupations personnelles” de Wightman est que certains fournisseurs disent qu’ils peuvent utiliser TLS et des certificats consumers pour sécuriser les contrôleurs, probablement à éviter. En réalité, cela ne ferait que rendre le trafic additionally difficile à inspecter, a déclaré Wightman.
“Si un attaquant pénètre dans le système d’ingénierie, il peut charger une charge utile malveillante à l’aide de CVE-2022-31800/CVE-2022-31801 (ou de l’un des problèmes similaires qui existent dans presque toutes les exécutions logiques) dans le contrôleur”, a-t-il ajouté. . “Seulement, maintenant nous n’avons aucun moyen de savoir s’ils l’ont fait parce que le trafic est crypté.”
Alors, remark résoudre le problème ?
“Je suppose que ma réponse serait : si votre système d’ingénierie est compromis, jetez tous les contrôleurs auxquels il était autorisé à parler”, a déclaré Wightman. “Et je doute que la plupart des utilisateurs finaux atteignent ce niveau de paranoïa.”
Ce qui, encore une fois, souligne la nature non sécurisée de la conception de ces systèmes.
“Heureusement, nous ne voyons aucun signe d’abus généralisé de ces protocoles ou “fonctionnalités” malgré le fait que certains bogues soient bien connus depuis des années”, a ajouté Wightman. “J’espère vraiment que ça restera comme ça.” ®
More Stories
Best Web Programming Languages: Every Beginner Should Know
Dentistry In China – A Cutting Future Industry
10 Reasons Why C is the Best Programming Language For Beginners