פורסקאוט חושפת עשרות חולשות אבטחה בציוד OT
56 חולשות האבטחה המתוארת בדוח הטכני של פורסקאוט התגלו במוצריהם של עשרה יצרני מערכות בקרה תעשייתיות
דניאל דוס סנטוס | צילום: Forescout
Vedere Labs, קבוצת המחקר של פורסקאוט (Forescout) מפרסמת – בשיתוף תהליך גילוי החולשות של CISA ומערך הסייבר הלאומי (INCD) – את דוח OT:ICEFALL החושף 56 חולשות אבטחה המשפיעות על מערכות בקרה תעשייתיות (OT) של 10 יצרנים מובילים בתחום.
"זה לא סוד שמתקפות הסייבר הופכות לרחבות ומגוונות יותר. חיבורן של מערכות OT, שבעבר לא היו מחוברות לרשת וחשופות לאינטרנט, להתקני IoT ו־IT הפך בבת אחת חולשות אבטחה שקודם לכן נחשבו שוליות למטרה פופולרית עבור פושעי סייבר," מסביר דניאל דוס סנטוס, ראש מחקר אבטחת הסייבר ב-Vedere Labs, קבוצת המחקר של פורסקאוט.
"חלפו עשר שנים מאז פרויקט Basecamp, וממצאי דוח ICEFALL ממחישים עד כמה ארוכה עדיין הדרך לשיפור אבטחתן של מערכות בקרה תעשייתיות. על רקע הפיכתן של חולשות האבטחה האלו למטרה מבוקשת, עולה הצורך ביכולות ניטור ייעודיות ו־DPI (Deep Packet Inspection) ברשתות שאליהן מחוברות מערכות בקרה תעשייתיות."
56 חולשות האבטחה המתוארת בדוח הטכני של פורסקאוט התגלו במוצריהם של עשרה יצרני מערכות בקרה תעשייתיות, ובהם: Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens ו־Yokogawa.
רמת הסיכון של כל חולשה אמנם משתנה בהתאם לתפקיד הציוד, אבל באופן כללי אפשר לחלק אותן לחמש קטגוריות.
הרצת קוד מרחוק (RCE): חולשות המאפשרות לתוקף להריץ קוד זדוני ולדלות מידע ממערכות הארגון בדרכים שונות גם ללא השתלטות מלאה על המערכת. על פי רוב, מקורה של החולשה הזאת בפרצות אבטחה בקושחה/בקר לוגי שמאפשרות לתוקפים להריץ קוד זדוני באין מפריע.
התקפת מניעת שירות (DoS): חולשה המאפשרת לתוקף להשבית מערכת או למנוע גישה לחלק ממשאביה.
שינויים בקובץ/קושחה/הגדרות מכשיר: חולשה המאפשרת לתוקף לגשת למכשיר ולבצע בו שינויים המשפיעים על תפקודו כמו שינויים בקבצי המערכת, בקושחה או בהגדרות המכשיר. בדרך כלל, משיגים התוקפים גישה מכיוון שלא קיימת שיטת אימות/ניהול הרשאות מתאימה או בדיקת אימות לשלמות הנתונים שהיו יכולות למנוע את הגישה למערכת וביצוע השינויים הזדוניים.
גניבת סיסמאות: התוקפים משיגים שמות משתמשים וסיסמאות, כמעט תמיד כי הם אוחסנו או שודרו בצורה לא מאובטחת, ומשתמשים בהם כדי להתחבר למערכת ולבצע בה שינויים.
מעקף אימות: התוקפים מצליחים לעקוף את שיטות האימות ולהשיג גישה למערכת כמשתמש מאומת.
חולשות האבטחה שנחשפו בדוח זה נעות מליקויים מתמשכים בתהליך תכנון מוצרים שנבדקו וקיבלו אישור מגופי בדיקה בתחום אבטחת הסייבר ועד לניסיונות כושלים לתקנם.
על בעלי הציוד להבין כיצד הופכים האופי הקנייני וחוסר השקיפות שאופפת את המערכות האלו, הנטייה לדחוק את הטיפול בחולשות האבטחה לתחתית סדר העדיפויות ותחושת הביטחון המוטעית שיוצרים האישורים מגופי התיעוד את תהליך ניהול הסיכונים בתחום מערכות הבקרה התעשייתיות למורכב ומסובך יותר.
את הרשימה המלאה של המכשירים המושפעים מהחולשות שנחשפו בדוח OT: ICEFALL אפשר למצוא כאן.
56 חולשות האבטחה המתוארת בדוח הטכני של פורסקאוט התגלו במוצריהם של עשרה יצרני מערכות בקרה תעשייתיות
דניאל דוס סנטוס | צילום: Forescout
Vedere Labs, קבוצת המחקר של פורסקאוט (Forescout) מפרסמת – בשיתוף תהליך גילוי החולשות של CISA ומערך הסייבר הלאומי (INCD) – את דוח OT:ICEFALL החושף 56 חולשות אבטחה המשפיעות על מערכות בקרה תעשייתיות (OT) של 10 יצרנים מובילים בתחום.
"זה לא סוד שמתקפות הסייבר הופכות לרחבות ומגוונות יותר. חיבורן של מערכות OT, שבעבר לא היו מחוברות לרשת וחשופות לאינטרנט, להתקני IoT ו־IT הפך בבת אחת חולשות אבטחה שקודם לכן נחשבו שוליות למטרה פופולרית עבור פושעי סייבר," מסביר דניאל דוס סנטוס, ראש מחקר אבטחת הסייבר ב-Vedere Labs, קבוצת המחקר של פורסקאוט.
"חלפו עשר שנים מאז פרויקט Basecamp, וממצאי דוח ICEFALL ממחישים עד כמה ארוכה עדיין הדרך לשיפור אבטחתן של מערכות בקרה תעשייתיות. על רקע הפיכתן של חולשות האבטחה האלו למטרה מבוקשת, עולה הצורך ביכולות ניטור ייעודיות ו־DPI (Deep Packet Inspection) ברשתות שאליהן מחוברות מערכות בקרה תעשייתיות."
56 חולשות האבטחה המתוארת בדוח הטכני של פורסקאוט התגלו במוצריהם של עשרה יצרני מערכות בקרה תעשייתיות, ובהם: Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, Omron, Phoenix Contact, Siemens ו־Yokogawa.
רמת הסיכון של כל חולשה אמנם משתנה בהתאם לתפקיד הציוד, אבל באופן כללי אפשר לחלק אותן לחמש קטגוריות.
הרצת קוד מרחוק (RCE): חולשות המאפשרות לתוקף להריץ קוד זדוני ולדלות מידע ממערכות הארגון בדרכים שונות גם ללא השתלטות מלאה על המערכת. על פי רוב, מקורה של החולשה הזאת בפרצות אבטחה בקושחה/בקר לוגי שמאפשרות לתוקפים להריץ קוד זדוני באין מפריע.
התקפת מניעת שירות (DoS): חולשה המאפשרת לתוקף להשבית מערכת או למנוע גישה לחלק ממשאביה.
שינויים בקובץ/קושחה/הגדרות מכשיר: חולשה המאפשרת לתוקף לגשת למכשיר ולבצע בו שינויים המשפיעים על תפקודו כמו שינויים בקבצי המערכת, בקושחה או בהגדרות המכשיר. בדרך כלל, משיגים התוקפים גישה מכיוון שלא קיימת שיטת אימות/ניהול הרשאות מתאימה או בדיקת אימות לשלמות הנתונים שהיו יכולות למנוע את הגישה למערכת וביצוע השינויים הזדוניים.
גניבת סיסמאות: התוקפים משיגים שמות משתמשים וסיסמאות, כמעט תמיד כי הם אוחסנו או שודרו בצורה לא מאובטחת, ומשתמשים בהם כדי להתחבר למערכת ולבצע בה שינויים.
מעקף אימות: התוקפים מצליחים לעקוף את שיטות האימות ולהשיג גישה למערכת כמשתמש מאומת.
חולשות האבטחה שנחשפו בדוח זה נעות מליקויים מתמשכים בתהליך תכנון מוצרים שנבדקו וקיבלו אישור מגופי בדיקה בתחום אבטחת הסייבר ועד לניסיונות כושלים לתקנם.
על בעלי הציוד להבין כיצד הופכים האופי הקנייני וחוסר השקיפות שאופפת את המערכות האלו, הנטייה לדחוק את הטיפול בחולשות האבטחה לתחתית סדר העדיפויות ותחושת הביטחון המוטעית שיוצרים האישורים מגופי התיעוד את תהליך ניהול הסיכונים בתחום מערכות הבקרה התעשייתיות למורכב ומסובך יותר.
את הרשימה המלאה של המכשירים המושפעים מהחולשות שנחשפו בדוח OT: ICEFALL אפשר למצוא כאן.
