Wat te doen met inherente beveiligingslekken in ICS? • Het register

Het meest recente onderzoek naar bedreigingsbeveiliging met betrekking tot operationele technologie (OT) en industriële systemen bracht een aantal problemen aan het licht – 56 om precies te zijn – die criminelen zouden kunnen gebruiken om cyberaanvallen op kritieke infrastructuur uit te voeren.

Maar velen van hen zijn onherstelbaar vanwege onveilige protocollen en architectuurontwerpen. En dat onderstreept een groter beveiligingsprobleem voor apparaten die elektriciteitsnetten besturen en schoon water door kranen laten stromen, volgens sommige industriële cyberbeveiligingsexperts.

“Industriële controlesystemen hebben deze inherente kwetsbaarheden”, zegt Ron Fabela, CTO van OT-cyberbeveiligingsbedrijf SynSaber het register. “Dat is gewoon de manier waarop ze zijn ontworpen. Ze hebben geen patches in de traditionele zin van, oh, Windows heeft een kwetsbaarheid, pas deze KB toe.”

In een vorige week gepubliceerde studie heeft Vedere Labs van Forescout 56 bugs in apparaten van 10 fabrikanten gedetailleerd en gezamenlijk de kwetsbaarheden OT:ICEFALL genoemd.

Zoals de auteurs van het rapport erkennen, komen veel van deze hiaten voort uit het feit dat OT-producten worden gebouwd zonder elementaire beveiligingscontroles. In feite komt de analyse van Forescout tien jaar na Digital Bond’s Project Basecamp, waarin ook naar OT-apparaten en -protocollen werd gekeken en deze als ‘onveilig door ontwerp’ werden geclassificeerd.

Een paar uur nadat Forescout zijn onderzoek had gepubliceerd, bracht CISA zijn eigen beveiligingsadvies uit met betrekking tot de OT:ICEFALL-kwetsbaarheden.

CVE’s: het probleem? Of de oplossing?

“Tot nu toe zijn er geen CVE’s gegenereerd voor deze inherent onveilige dingen, en daar is een reden voor”, zegt Fabela. “Het is slecht voor de sector.”

Zodra een CVE is gegenereerd, leidt dit tot een reeks acties door industriële systeembeheerders, met name in sterk gereguleerde industrieën zoals elektriciteitsbedrijven en olie- en gaspijpleidingen.

Eerst moeten ze bepalen of de omgeving aangetaste producten bevat. Maar in tegenstelling tot enterprise-IT, die doorgaans gecentraliseerde zichtbaarheid en controle over IT-middelen heeft, wordt in OT-omgevingen “alles gedistribueerd”, merkte Fabela op.

Wanneer in industriële en productieomgevingen producten zijn aangetast door de kwetsbaarheid, wordt een intern beoordelings- en regelgevingsproces in gang gezet, waaronder het reageren op CISA en het ontwikkelen van een plan om de beveiliging te verbeteren.

Een klant van SynSaber beschreef OT:ICEFALL sarcastisch als “het geschenk dat blijft geven”, zei Fabela. “Hij zei: ‘Nu heb ik dat bovenop al mijn andere, de echte kwetsbaarheden'”, die gepaard gaan met tal van andere problemen met patchen – zoals wachten op een geplande onderhoudsstoring die maanden kan duren – of de fabrikant heeft helemaal een pleister.

OT-protocollen gebruiken geen authenticatie

Een voorbeeld: Het huidige Modbus-protocol, dat veel voorkomt in de industriële omgeving, kent geen authenticatie.

De analyse van Forescout beschrijft negen kwetsbaarheden met betrekking tot niet-geverifieerde protocollen en weerlegt het argument tegen het toewijzen van een CVE-ID aan een product met een onveilig OT-protocol.

“Integendeel, wij geloven dat een CVE een door de gemeenschap erkende marker is die de zichtbaarheid en bruikbaarheid van kwetsbaarheden verbetert door leveranciers te helpen problemen op te lossen en eigenaren van activa te helpen risico’s te beoordelen en patches toe te passen”, schreven de auteurs.

Hoewel dit logisch is vanuit het oogpunt van IT-beveiliging, zei Fabela dat het onrealistisch is vanuit een OT-perspectief en uiteindelijk de kritieke infrastructuur niet veiliger maakt.

Modbus, als een protocol dat geen authenticatie gebruikt, zou “duizenden” CVE’s kunnen genereren die “elke productlijn in de wereld beïnvloeden”, zegt Fabela. “Je koppelt de productbeveiligingsteams aan de OEM’s en je bindt de klanten, de asset owners aan CVE, waar ze niets aan kunnen doen.”

Basecamp-onderzoeker doet mee

Reid Wightman is senior onderzoeker naar kwetsbaarheden in het Threat Intelligence-team van OT-beveiligingswinkel Dragos. Hij is ook een van de oorspronkelijke Project Basecamp-onderzoekers en heeft meer recentelijk gewerkt aan de ProConOs- en MultiProg-softwarekwetsbaarheden.

Forescout citeerde een deel van zijn onderzoek en wijdde een deel van de ICEFALL-analyse aan ProConOS runtime-kwetsbaarheden in PLC’s.

In een e-mail naar het registerWightman merkte op dat veel industriële controllers dezelfde problemen hebben die niet zullen verdwijnen: “Ze laten niet-geverifieerde code draaien op de PLC.”

“Dit betekent dat een kwaadwillige overdracht van logica naar de PLC de PLC permanent in gevaar kan brengen”, voegde hij eraan toe, en merkte op dat de wijziging kan plaatsvinden buiten een normale firmware-update om, aangezien de besturingslogica de wijziging veroorzaakt. “Het is iets waar ik mee heb gespeeld sinds de dagen van het basiskamp, ​​maar het is misschien de moeite waard om te herhalen. Opnieuw en opnieuw. Tot de zon opbrandt, waarschijnlijk.”

Een van Wightmans ‘grote persoonlijke zorgen’ de laatste tijd is dat sommige leveranciers zeggen dat ze TLS en clientcertificaten kunnen gebruiken om controllers te beveiligen, vermoedelijk om dit te voorkomen. In werkelijkheid zou het het regelen van het verkeer alleen maar moeilijker maken, zei Wightman.

“Als een aanvaller het technische systeem binnendringt, kunnen ze een kwaadaardige lading in de controller laden met behulp van CVE-2022-31800/CVE-2022-31801 (of een van de vergelijkbare problemen die in bijna elke logische runtime worden aangetroffen), “voegde hij eraan toe. “Pas nu kunnen we niet zeggen of ze het hebben gedaan, omdat het dataverkeer versleuteld is.”

Hoe lossen we het probleem op?

“Ik denk dat mijn antwoord zou zijn: als je technische systeem in gevaar komt, gooi dan alle controllers weg waarmee het mocht communiceren”, zei Wightman. “En ik betwijfel of de meeste eindgebruikers dat niveau van paranoia zouden bereiken.”

Wat weer wijst op het onveilige karakter van de constructie van deze systemen.

“Gelukkig, hoewel sommige van de fouten al jaren bekend zijn, zien we geen bewijs van wijdverbreid misbruik van deze protocollen of ‘functies’,” voegde Wightman eraan toe. “Ik hoop echt dat het zo blijft.” ®

Leave a Comment