Bijna vijf dozijn beveiligingsproblemen zijn onthuld in apparaten van 10 leveranciers van operationele technologie (OT) als gevolg van wat onderzoekers 'onveilige praktijken' noemen.De 56 nummers, gezamenlijk OT:ICEFALL genoemd door Forescout, omvatten maar liefst 26 apparaatmodellen van Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens en Yokogawa."Door gebruik te maken van deze kwetsbaarheden kunnen aanvallers met netwerktoegang tot een doelapparaat op afstand code uitvoeren, de logica, bestanden of firmware van OT-apparaten wijzigen, authenticatie omzeilen, inloggegevens in gevaar brengen, denial of service veroorzaken of een verscheidenheid aan operationele gevolgen hebben", aldus het bedrijf. zei in een technisch rapport.Deze kwetsbaarheden kunnen rampzalige gevolgen hebben, aangezien de getroffen producten op grote schaal worden gebruikt in kritieke infrastructuursectoren zoals olie en gas, chemie, kernenergie, energieopwekking en -distributie, productie, waterbehandeling en -distributie, mijnbouw en gebouwautomatisering.Van de 56 ontdekte kwetsbaarheden staat 38% het compromitteren van referenties toe, 21% staat firmwaremanipulatie toe, 14% staat uitvoering van externe code toe en 8% van de fouten maakt het mogelijk om met configuratie-informatie te knoeien.Naast het mogelijk maken van een aanvaller om willekeurige code te leveren en ongeautoriseerde wijzigingen aan de firmware aan te brengen, kunnen de zwakke punten ook worden gebruikt om een ​​apparaat volledig offline te halen en bestaande authenticatiefuncties te omzeilen om functionaliteit op de doelen aan te roepen.Wat nog belangrijker is, gebroken authenticatieschema's - inclusief bypass, gebruik van risicovolle cryptografische protocollen en hardcoded en niet-gecodeerde inloggegevens - waren verantwoordelijk voor 22 van de 56 fouten, wat wijst op "ondermaatse beveiligingscontroles" tijdens de implementatie.In een hypothetisch realistisch scenario zouden deze tekortkomingen kunnen worden ingezet tegen aardgaspijpleidingen, windturbines of discrete productie-assemblagelijnen om het brandstoftransport te verstoren, veiligheidsinstellingen te negeren, de mogelijkheid om compressorstations te besturen te stoppen en de werking van programmeerbare logica te veranderen controllers (PLC's).Maar de bedreigingen zijn niet alleen theoretisch.Een fout bij het uitvoeren van code op afstand die de NJ/NX-controllers van Omron (CVE-2022-31206) treft, werd in feite uitgebuit door een op de staat afgestemde acteur genaamd CHERNOVITE om een ​​stukje geavanceerde malware te ontwikkelen met de naam PIPEDREAM (ook bekend als INCONTROLLER).Het risicobeheer wordt gecompliceerd door de toenemende onderlinge verwevenheid tussen IT- en OT-netwerken, in combinatie met de ondoorzichtige en bedrijfseigen aard van veel OT-systemen, om nog maar te zwijgen van de afwezigheid van CVE's, waardoor de slepende problemen onzichtbaar worden en dergelijke onveilige-door-ontwerpkenmerken voor een lange tijd.Om OT:ICEFALL te verminderen, wordt aanbevolen om kwetsbare apparaten te ontdekken en te inventariseren, leverancierspecifieke patches toe te passen, segmentatie van OT-middelen af ​​te dwingen, netwerkverkeer te controleren op afwijkende activiteiten en beveiligde producten aan te schaffen om de toeleveringsketen te versterken."De ontwikkeling van recente malware die zich richt op kritieke infrastructuur, zoals Industroyer2, Triton en INCONTROLLER, heeft aangetoond dat bedreigingsactoren zich bewust zijn van de onveilige aard van operationele technologie en klaar zijn om deze te misbruiken om schade aan te richten", aldus de onderzoekers."Ondanks de belangrijke rol die op standaarden gebaseerde verhardingsinspanningen spelen in OT-beveiliging, werden producten met onveilige ontwerpkenmerken en triviaal gebroken beveiligingscontroles nog steeds gecertificeerd."Update: het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vijf Industrial Controls Systems Advisories (ICSA's) met betrekking tot OT:ICEFALL uitgebracht, waarin de getroffen gebruikers worden aangespoord om baseline-mitigaties te identificeren voor het verminderen van potentiële risico's die voortvloeien uit het misbruiken van deze fouten.Meld u aan voor de cyberbeveiligingsnieuwsbrief en ontvang dagelijks de laatste nieuwsupdates rechtstreeks in uw inbox.