Een nieuw onderzoeksproject heeft 56 kwetsbaarheden blootgelegd in apparaten voor operationele technologie (OT) van 10 verschillende leveranciers, die allemaal voortkomen uit onveilig ontworpen of geïmplementeerde functionaliteit in plaats van programmeerfouten.Dit benadrukt dat ondanks de toegenomen aandacht die dit type kritieke apparaten de afgelopen tien jaar heeft gekregen van zowel beveiligingsonderzoekers als kwaadwillende aanvallers, de industrie nog steeds niet de fundamentele principes van 'secure-by-design' volgt."Door gebruik te maken van deze kwetsbaarheden, kunnen aanvallers met netwerktoegang tot een doelapparaat op afstand code uitvoeren, de logica, bestanden of firmware van OT-apparaten wijzigen, authenticatie omzeilen, referenties in gevaar brengen, denial of service veroorzaken of een verscheidenheid aan operationele gevolgen hebben", onderzoekers van beveiligingsbedrijf Forescout zei in hun nieuwe rapport.De geïdentificeerde beveiligingsproblemen, gezamenlijk OT:ICEFALL genoemd, komen voort uit onveilige technische protocollen, zwakke cryptografische implementaties of gebroken authenticatieschema's, onveilige firmware-updatemechanismen en onjuist beschermde native functionaliteit die kan worden misbruikt voor het uitvoeren van externe code.In feite kan 14% van de onthulde kwetsbaarheden leiden tot het uitvoeren van externe code en nog eens 21% kan leiden tot manipulatie van de firmware.Een andere interessante bevinding van dit onderzoek was dat veel van de kwetsbare apparaten waren gecertificeerd volgens verschillende normen die van toepassing zijn op OT-omgevingen, zoals IEC 62443, NERC CIP, NIST SP 800-82, IEC 51408/CC, IEC 62351, DNP3 Security, CIP Beveiliging en Modbus-beveiliging."Hoewel deze op standaarden gebaseerde verhardingsinspanningen zeker hebben bijgedragen aan belangrijke verbeteringen op het gebied van de ontwikkeling van beveiligingsprogramma's, risicobeheer en ontwerp- en integratieactiviteiten op architectuurniveau, zijn deze inspanningen minder succesvol geweest in het volwassen worden van veilige ontwikkelingslevenscycli voor individuele systemen en componenten, ’ concluderen de onderzoekers.De Forescout-onderzoekers maken vergelijkingen tussen hun bevindingen en die van Project Basecamp, een onderzoeksproject van 10 jaar geleden dat zich richtte op het blootleggen van onveilige-door-ontwerpproblemen in remote terminal units (RTU's), programmeerbare logische controllers (PLC's) en andere controllers die vormen de SCADA-systemen (Supervisory Control and Data Acquisition) die worden gebruikt in industriële installaties.Vervolgens, na de ontdekking van geavanceerde bedreigingen zoals Stuxnet, ontwikkeld door natiestaten om PLC's aan te vallen, wilden de onderzoekers die deelnamen aan Project Basecamp veranderen wat volgens hen "een decennium van inactiviteit" was geweest door ICS-fabrikanten en activa-eigenaren na 9/9. 11.Een decennium later laat OT:ICEFALL zien dat veel van dezelfde problemen, zoals obscure propriëtaire protocollen die niet over de juiste authenticatie en codering beschikken, nog steeds veel voorkomen in de apparaten die onze kritieke infrastructuur gebruiken."Het is bekend dat de producten die door OT:ICEFALL worden getroffen, veel voorkomen in industrieën die de ruggengraat vormen van kritieke infrastructuren zoals olie en gas, chemie, kernenergie, energieopwekking en -distributie, productie, waterbehandeling en -distributie, mijnbouw en gebouwautomatisering," zeiden de Forescout-onderzoekers in hun rapport."Veel van deze producten worden verkocht als 'secure by design' of zijn gecertificeerd met OT-beveiligingsnormen."Hoewel deze standaard onveilige toestand in de OT-wereld voortduurt, is het aantal aanvallen alleen maar toegenomen en geëvolueerd.Sinds Stuxnet hebben we de Industroyer-aanval gezien die in 2016 stroomuitval in Oekraïne veroorzaakte, de TRITON-malware die in 2017 werd gebruikt bij een poging tot sabotage van petrochemische fabrieken in Saoedi-Arabië, de Industroyer2-malware die dit jaar werd gebruikt tegen elektrische onderstations in Oekraïne, en de INCONTROLLER APT-toolkit.ICS-beveiligingsbedrijf Dragos volgt 19 bedreigingsgroepen die zich richten op ICS-omgevingen, waaronder drie die vorig jaar werden ontdekt en die toegang gaven tot ICS/OT-netwerken.De OT:ICEFALL-fouten hebben gevolgen voor apparaten van Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens en Yokogawa.Ze omvatten conditiemonitors, gedistribueerde besturingssystemen (DCS), technische werkstations, RTU's, PLC's, gebouwcontrollers, veiligheidsinstrumenten (SIS), SCADA-systemen, protocollen en zelfs een logische runtime.De logische runtime is de software die de ladderlogica interpreteert en uitvoert - de code die door ingenieurs is geschreven om te reageren op de in- en uitgangen van het apparaat.De ProConOS-runtime van Phoenix Contact wordt bijvoorbeeld gebruikt in meerdere PLC's van verschillende leveranciers, waardoor de fouten die erin worden ontdekt - het ontbreken van cryptografische authenticatie van de geüploade logica - een potentieel supply chain-risico vormen dat leidt tot het uitvoeren van willekeurige code."Door het ontbreken van software stuklijsten (SBOM's) en de complexiteit van product supply chains, is het vaak niet meteen duidelijk welke runtime een bepaalde PLC gebruikt", aldus de onderzoekers in hun rapport."Runtimes hebben meestal verschillende versies met overeenkomstige protocolverschillen en zijn onderhevig aan OEM-integratiebeslissingen. Een PLC-fabrikant kan ervoor kiezen om de runtime te gebruiken, maar niet de protocollen, geeft er de voorkeur aan om zijn eigen te gebruiken, of kan ervoor kiezen om het protocol te gebruiken op een niet-standaard port of kan ervoor kiezen om de runtime te rebranden of helemaal te wijzigen.Bij gebrek aan proactieve, gecoördineerde inspanningen van leveranciers, CVE-nummeringsautoriteiten en CERT's om kennis van kwetsbaarheden in de toeleveringsketen te verspreiden onder alle betrokken partijen, is de beveiligingsgemeenschap gedwongen deze periodiek en lukraak opnieuw te ontdekken, resulterend in CVE-duplicatie en complicerende root-cause analyse."Twee CVE's die in het verleden waren toegewezen aan problemen in de ProConOS-runtime - CVE-2014-9195 en CVE-2019-9201 - waren bijvoorbeeld alleen geassocieerd met Phoenix Contact-PLC's, terwijl ze ook van invloed waren op andere leveranciers.Een probleem werd later ontdekt in Yokogawa STARDOM-controllers en kreeg CVE-2016-4860 toegewezen, maar het is eigenlijk hetzelfde probleem als CVE-2014-9195, aldus de onderzoekers.Het probleem wordt nog verergerd door het feit dat in het verleden veel onveilige standaardproblemen, zoals die in OT:ICEFALL, helemaal geen CVE-ID's ontvingen, omdat ze niet als traditionele kwetsbaarheden werden beschouwd, waardoor het voor klanten moeilijk te traceren is. hen.Het Forescout-team heeft tijdens het openbaarmakingsproces samengewerkt met het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het bureau heeft zijn eigen adviezen voor sommige van de problemen gepubliceerd.Eigenaren van activa moeten patches en firmware-updates installeren wanneer apparaatfabrikanten ze beschikbaar stellen, maar het oplossen van een aantal van de geïdentificeerde problemen kan aanzienlijke technische inspanningen en wijzigingen met zich meebrengen, dus het kan zijn dat leveranciers ze voor een lange tijd niet aanpakken.In de tussentijd beveelt het Forescout-team de volgende mitigerende stappen aan:Lucian Constantin is senior writer bij CSO en houdt zich bezig met informatiebeveiliging, privacy en gegevensbescherming.Copyright © 2022 IDG Communications, Inc.Copyright © 2022 IDG Communications, Inc.