Los investigadores descubrieron 56 vulnerabilidades que afectan a dispositivos de 10 proveedores de tecnología operativa (OT), la mayoría de las cuales han atribuido a fallas de diseño inherentes en los equipos y un enfoque laxo para la seguridad y la gestión de riesgos que han estado plagando la industria durante décadas, dijeron.
Las vulnerabilidades, encontradas en dispositivos por reputados proveedores como Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa, así como un fabricante no identificado, varían en términos de sus características y lo que permiten que hagan los actores de amenazas, según la investigación de Vedere Labs de Forescout.
Sin embargo, en general, el "impacto de cada vulnerabilidad es alto dependiendo de la funcionalidad que ofrece cada dispositivo", según una publicación de blog sobre las fallas publicada el martes.
Los investigadores dividieron el tipo de defecto que encontraron en cada uno de los productos en cuatro categorías básicas: protocolos de ingeniería inseguros; criptografía débil o esquemas de autenticación rotos; actualizaciones de firmware inseguras; o ejecución remota de código a través de funcionalidad nativa.
Entre las actividades que los actores de amenazas pueden realizar al explotar las fallas en un dispositivo afectado se incluyen: ejecución remota de código (RCE), con código ejecutado en diferentes procesadores especializados y diferentes contextos dentro de un procesador; denegación de servicio (DoS) que puede desconectar completamente un dispositivo o bloquear el acceso a una determinada función; manipulación de archivos/firmware/configuración que permite a un atacante cambiar aspectos importantes de un dispositivo; compromiso de credenciales que permiten el acceso a las funciones del dispositivo; o la omisión de autenticación que permite a un atacante invocar la funcionalidad deseada en el dispositivo objetivo, dijeron los investigadores.
Problema sistémico
Que las fallas, que los investigadores denominaron colectivamente OT: ICEFALL en una referencia al Monte Everest y los fabricantes de dispositivos de montaña necesitan escalar en términos de seguridad, existan en dispositivos clave en redes que controlan la infraestructura crítica en sí misma es bastante malo.
Sin embargo, lo peor es que las fallas podrían haberse evitado, ya que el 74 por ciento de las familias de productos afectadas por las vulnerabilidades tienen algún tipo de certificación de seguridad y, por lo tanto, se verificaron antes de enviarlas al mercado, encontraron los investigadores. Además, la mayoría de ellos deberían haberse descubierto "relativamente rápido durante el descubrimiento de vulnerabilidades en profundidad", señalaron.
Este pase libre que los proveedores de OT han estado dando a los productos vulnerables demuestra un esfuerzo persistente y mediocre por parte de la industria en su conjunto cuando se trata de seguridad y gestión de riesgos, algo que los investigadores esperan cambiar al arrojar luz sobre el problema, dijeron.
"Estos problemas van desde prácticas persistentes de inseguridad por diseño en productos certificados de seguridad hasta intentos mediocres de alejarse de ellos", escribieron los investigadores en la publicación. "El objetivo [de nuestra investigación] es ilustrar cómo la naturaleza opaca y propietaria de estos sistemas, la gestión de vulnerabilidades subóptima que los rodea y la sensación de seguridad a menudo falsa que ofrecen las certificaciones complican significativamente los esfuerzos de gestión de riesgos de OT".
Paradoja de la seguridad
De hecho, los profesionales de la seguridad también notaron la paradoja de la estrategia de seguridad laxa de los proveedores en un campo que produce los sistemas que ejecutan infraestructura crítica, cuyos ataques pueden ser catastróficos no solo para las redes en las que existen los productos, sino para el mundo en general.
"Uno puede asumir incorrectamente que los dispositivos de control industrial y tecnología operativa que realizan algunas de las tareas más vitales y sensibles en entornos de infraestructura crítica estarían entre los sistemas más fuertemente protegidos del mundo, sin embargo, la realidad es a menudo exactamente lo contrario", señaló Chris Clements, vicepresidente de arquitectura de soluciones de Cerberus Sentinel. en un correo electrónico a Threatpost.
De hecho, como lo demuestra la investigación, "demasiados dispositivos en estos roles tienen controles de seguridad que son terriblemente fáciles de derrotar o eludir para los atacantes para tomar el control completo de los dispositivos", dijo.
Los hallazgos de los investigadores son otra señal de que la industria de OT "está experimentando un cálculo de ciberseguridad largamente esperado" que los proveedores deben abordar ante todo integrando la seguridad en el nivel más básico de producción antes de continuar, observó Clements.
"Los fabricantes de dispositivos de tecnología operativa sensibles deben adoptar una cultura de ciberseguridad que comienza desde el principio del proceso de diseño, pero continúa hasta la validación de la implementación resultante en el producto final", dijo.
Desafíos para la gestión de riesgos
Los investigadores describieron algunas de las razones de los problemas inherentes con el diseño de seguridad y la gestión de riesgos en dispositivos OT que sugieren que los fabricantes resuelvan de manera rápida.
Una es la falta de uniformidad en términos de funcionalidad en todos los dispositivos, lo que significa que su falta inherente de seguridad también varía ampliamente y complica la solución de problemas, dijeron. Por ejemplo, al investigar tres vías principales para obtener RCE en dispositivos de nivel 1 a través de la funcionalidad nativa (descargas lógicas, actualizaciones de firmware y operaciones de lectura / escritura de memoria), los investigadores descubrieron que la tecnología individual manejaba estas vías de manera diferente.
Ninguno de los sistemas analizados admite la firma lógica y más del 50 por ciento compiló su lógica en código máquina nativo, encontraron. Además, el 62 por ciento de los sistemas aceptan descargas de firmware a través de Ethernet, mientras que solo el 51 por ciento tiene autenticación para esta funcionalidad.
Mientras tanto, a veces la seguridad inherente del dispositivo no era directamente culpa del fabricante, sino de los componentes "inseguros por diseño" en la cadena de suministro, lo que complica aún más la forma en que los fabricantes gestionan el riesgo, encontraron los investigadores.
"Las vulnerabilidades en los componentes de la cadena de suministro de OT tienden a no ser reportadas por todos los fabricantes afectados, lo que contribuye a las dificultades de la gestión de riesgos", dijeron.
Largo camino por delante
De hecho, la gestión de riesgos en dispositivos y sistemas de TI y OT por igual requiere "un lenguaje común de riesgo", algo que es difícil de lograr con tantas inconsistencias entre los proveedores y sus estrategias de seguridad y producción en una industria, señaló Nick Sanna, CEO de RiskLens.
Para remediar esto, sugirió que los proveedores cuantifiquen el riesgo en términos financieros, lo que puede permitir a los gerentes de riesgos y operadores de planta priorizar la toma de decisiones sobre "responder a las vulnerabilidades: parches, agregar controles, aumentar el seguro, todo basado en una comprensión clara de la exposición a pérdidas tanto para TI como para los activos operativos".
Sin embargo, incluso si los proveedores comienzan a abordar los desafíos fundamentales que han creado el escenario OT: ICEFALL, enfrentan un largo camino por delante para mitigar el problema de seguridad de manera integral, dijeron los investigadores de Forescout.
"La protección completa contra OT: ICEFALL requiere que los proveedores aborden estos problemas fundamentales con cambios en el firmware del dispositivo y los protocolos compatibles y que los propietarios de activos apliquen los cambios (parches) en sus propias redes", escribieron. "Siendo realistas, ese proceso llevará mucho tiempo".