Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
تكشف Forescout’sVedere Labs عن ثغرات أمنية جديدة ، ورؤى حول تصميم أمان OT والترقيع
دبي ، الإمارات العربية المتحدة ، 22 يونيو 2023: لتقرير OT: ICEFALL النهائي ، تقدم Forescout’sVedere Labs ثلاث نقاط ضعف جديدة وتختتم المشروع بعد عام واحد من البحث بعد الكشف الأصلي.
لقد أسفرت أبحاث OT: ICEFALL ، بما في ذلك 61 نقطة ضعف تؤثر على 13 بائعًا ، عن ثلاث رؤى رئيسية حول الحالة الحالية لأمان منتجات OT:
- لا يزال البائعون يفتقرون إلى فهم أساسي للتأمين حسب التصميم.تُظهر أبحاث Vedere Labs استمرار انتشار ممارسات التصميم غير الآمن في منتجات OT وتسلط الضوء على أن ضوابط الأمان الحالية غالبًا ما يتم كسرها. ووجدت مشكلات متكررة في التصميم تظهر عدم فهم تصميم التحكم الأمني الأساسي ، مثل النص العادي و / أو بيانات الاعتماد المشفرة ، والمصادقة من جانب العميل ، والتحكم المفروض على البروتوكولات عديمة الحالة ، والخطوات الحاسمة المفقودة في المصادقة ، والخوارزميات المعطلة ، والتطبيقات المعيبة. في خطوط الإنتاج القديمة ، تستمر بعض المشكلات بسبب الحاجة إلى التوافق مع الإصدارات السابقة ، ولكن توجد بعض هذه المشكلات أيضًا في التصميمات الأحدث.
- غالبًا ما يطلق البائعون تصحيحات منخفضة الجودة. يمكن أن تؤدي التصحيحات غير المكتملة إلى اكتشاف ثغرات جديدة ، مما يدل على كيفية وجود رقعة سيئة يزيد الخطر بدلا من إنقاصها. تم الاعتراف بهذا الموقف سابقًا في قسم تكنولوجيا المعلومات ولكنه أكثر أهمية في OT ، حيث يصعب تطبيق تصحيحات الأمان. غالبًا ما تكون التصحيحات غير مكتملة بسبب نقص التحليل المتنوع والإصلاحات الجزئية للثغرات الأمنية ، بدلاً من معالجة أسبابها الجذرية.
- يجب على البائعين تحسين إجراءات اختبار الأمان الخاصة بهم. تلقي الطبيعة الضحلة للعديد من نقاط الضعف التي تم العثور عليها في Vedere Labs في المشروع بظلال من الشك على جودة اختبار الأمان الذي تخضع له هذه المنتجات حاليًا. مرة أخرى ، هناك تفسير محتمل وهو أنه في بعض الحالات يجب أن تظل المنتجات والبروتوكولات متوافقة مع التصميمات القديمة. على الرغم من ذلك ، فإن بعض البائعين لديهم دورة حياة معتمدة لتطوير البرمجيات ، مما يدفع Vedere Labs إلى التساؤل عن كيفية إغفال هؤلاء البائعين للأخطاء في المقام الأول.
تعكس كل نقطة من النقاط المذكورة أعلاه موقف بعض البائعين ، ولكن ليس بالضرورة كل بائع متأثر بـ OT: ICEFALL.
أدناه ، تلخص Vedere Labs نقاط الضعف الجديدة وتناقش عواقب هذا البحث على إدارة أمان OT.
H2: ثغرات أمنية جديدة لمنتج OT
يلخص الجدول أدناه نقاط الضعف الجديدة التي تكشف عنها Vedere Labs. CVE-2022-46680 هي آخر مشكلة تم العثور عليها في بحث OT: ICEFALL الأصلي ولم يتم الإعلان عنها في البداية بناءً على طلب البائع المتأثر. CVE-2023-1619 و CVE-2023-1620 هي نتائج جديدة على وحدات تحكم WAGO باستخدام وقت تشغيل CODESYS V2 الشهير.
| معرف CVE | الأجهزة المتضررة | وصف | CVSS الإصدار 3.1 | محتمل تأثير |
| CVE-2022-46680 | عدادات الطاقة شنايدر إلكتريك ION و PowerLogic | يرسل بروتوكول ION / TCP معرف المستخدم وكلمة المرور بنص عادي مع كل رسالة. يتيح ذلك للمهاجم الذي يتمتع بقدرات اعتراض سلبي الحصول على بيانات الاعتماد هذه والمصادقة على واجهة هندسة ION / TCP بالإضافة إلى واجهات SSH و HTTP لتغيير إعدادات التكوين وربما تعديل البرامج الثابتة. | 8.8 | تسوية أوراق الاعتماد |
| CVE-2023-1619 | وحدات تحكم WAGO 750 | يمكن للمهاجم المصادق عليه إرسال حزمة مشوهة لبدء تعطل الجهاز. بعد تشغيل الثغرة الأمنية ، يجب إعادة تشغيل الجهاز المتأثر يدويًا للعودة إلى حالة التشغيل الخاصة به. | 4.9 | DoS |
| CVE-2023-1620 | وحدات تحكم WAGO 750 | نظرًا لانتهاء صلاحية الجلسة غير الكافية ، يمكن للمهاجم المصادق عليه أن يعطل جهازًا متأثرًا عن طريق إرسال طلبات محددة بعد تسجيل الخروج. بعد تشغيل الثغرة الأمنية ، يجب إعادة تشغيل الجهاز المتأثر يدويًا للعودة إلى حالة التشغيل الخاصة به. | 4.9 | DoS |
يتوفر العلاج والتخفيف من CVE-2022-46680 من خلال استشاري البائع. كان هناك تعاون وثيق بين Forescout وشنايدر إلكتريك على CVE-2022-46680. يعد الإصلاح الذي تم تطويره لتأمين هذا البروتوكول القديم المصمم منذ 30 عامًا إنجازًا مهمًا ويظهر التزام شنايدر إلكتريك باعتماد التصميم الآمن لحماية العملاء الحاليين.
توفر عدادات الطاقة ION و PowerLogic مراقبة الطاقة والطاقة في قطاعات مثل التصنيع والطاقة والمياه وأنظمة الصرف الصحي. WAGO 750 عبارة عن مجموعة من وحدات التحكم الآلي مع متغيرات تدعم عدة بروتوكولات مختلفة ، مثل Modbus و KNX و Ethernet / IP و PROFIBUS و CANopen و BACnet / IP و DeviceNet و LonWorks ، والتي تُستخدم في قطاعات مثل المرافق التجارية والتصنيع والطاقة والنقل.
على الرغم من أنه لا يُفترض أن يتم كشف هذه الأجهزة عبر الإنترنت ، ترى VedereLabs ما بين 2000 و 4000 جهازًا فريدًا يمكن الوصول إليه بشكل مباشر عند الاستعلام عن Shodan. أشهر البروتوكولات المكشوفة هي HTTP لوحدات تحكم WAGO و Telnet لمقاييس ION. أجهزة التحكم WAGO هي الأكثر شيوعًا في أوروبا ، بينما أجهزة ION هي الأكثر شيوعًا في أمريكا الشمالية.
في Forescout Device Cloud – مستودع بيانات من 19 مليون جهاز تراقبها أجهزة Forescout – نرى حوالي 500 وحدة تحكم WAGO و 500 مقياس طاقة ION. كلا النوعين من الأجهزة الأكثر شيوعًا في التصنيع ، ولكنها أيضًا شائعة في المرافق والرعاية الصحية ، وفي الحالة الأخيرة بشكل أساسي لأتمتة المباني.
H2: “التحول إلى اليسار” لتحقيق أمان العمليات التشغيلية حسب التصميم
الوقت الإضافي: يوضح ICEFALL الحاجة إلى تدقيق أكثر إحكامًا وتحسينات للعمليات المتعلقة بالتصميم الآمن والترقيع والاختبار في بائعي أجهزة OT.
هناك مناقشات متزايدة حول الحاجة إلى مزيد من مسؤولية البائعين وتحسين الأمان حسب التصميم وبشكل افتراضي. يتمثل أحد الأهداف الإستراتيجية في الإستراتيجية الوطنية للأمن السيبراني في الولايات المتحدة في “تحويل المسؤولية عن منتجات وخدمات البرامج غير الآمنة” ، الأمر الذي يستلزم تشريعًا لتحديد مسؤولية بائعي الأجهزة عن المنتجات غير الآمنة أو المعرضة للخطر.
بغض النظر عن كيفية تطور هذه المناقشات التنظيمية ، تتمثل إحدى طرق تحسين حالة أمان التطبيقات التشغيلية في ضمان معالجة البائعين لعيوب التصميم الواضحة مثل تلك الموضحة في البحث. سيؤدي تحويل الجهود الأمنية إلى اليسار أيضًا إلى كسر الثقافة الحالية المتمثلة في “الترقيع التدريجي” غير الفعال والمزعزع في OT.
بعد كل شيء ، يمكن أن تكون البقع محفوفة بالمخاطر في OT. إن إصلاح عملية التصحيح من خلال ضمان خضوع التصحيحات لاختبارات أمنية صارمة ، مع تحليل متغير ، وإعطائها الأولوية على ميزات المنتج الجديدة ، من شأنه أن يقلل تلقائيًا من عدد الثغرات الأمنية الجديدة.
بالنسبة لمالكي الأصول الذين يستخدمون أجهزة OT غير آمنة حسب التصميم وهشاشة ، فإن تحديد وقت التصحيح يمثل تحديًا. حاليًا ، هناك دافع للتركيز على احتمالية الاستغلال لدفع هذا القرار. على الرغم من أهمية مراعاة الاحتمالية ، إلا أنها يمكن أن تتغير بسرعة أيضًا ، وتتأثر بعوامل مثل دافع المهاجم والقدرات المتاحة للجمهور. على سبيل المثال ، تم الإبلاغ عن CVE-2015-5374 لأول مرة بدون تفاصيل في يوليو 2015 قبل استخدامها في ديسمبر 2016 كجزء من Industroyer – ولكن يمكن العثور على تفاصيلها في عرض تقديمي في مايو 2016 ، قبل نصف عام من الهجوم. في مارس 2018 ، تم دمج الثغرة في Metasploit ، مما جعلها متاحة للجمهور على نطاق واسع. تم استخدام وحدات Metasploit مماثلة لبروتوكولات وأجهزة أخرى مؤخرًا من قبل المهاجمين الانتهازيين. تم تصميم الدفاع المتعمق للتعامل مع هذا النوع من تقلبات الاحتمالية ، ولكن إذا كان المدافع يعتمد على احتمالية منخفضة وحده ، فقد لا يتمكن من التصحيح بسرعة يكفي إذا تغير هذا الاحتمال فجأة.
لكل هذه الأسباب ، توصي Vedere Labs مالكي الأصول بإجراء تحليل دقيق مدفوع بالنتائج حول نقاط الضعف التي يجب تصحيحها ، وفي أي الأصول ، بدلاً من اتباع إرشادات البائع بشكل أعمى أو الاعتماد حصريًا على الضوابط التعويضية.
-انتهى-
حول Forescout
تقدم Forescout Technologies، Inc. أتمتة الأمن السيبراني عبر التضاريس الرقمية ، مع الحفاظ على المحاذاة المستمرة لأطر أمان العملاء مع حقائقهم الرقمية ، بما في ذلك جميع أنواع الأصول – IT و OT و IoT و IoMT. توفر منصة Forescout Continuum رؤية كاملة للأصول والامتثال المستمر وتجزئة الشبكة وأساسًا قويًا للثقة الصفرية. لأكثر من 20 عامًا ، وثقت مؤسسات Fortune 100 والوكالات الحكومية في Forescout لتوفير الأمن السيبراني الآلي على نطاق واسع. تزود Forescout العملاء بذكاء مدعوم بالبيانات لاكتشاف المخاطر بدقة ومعالجة التهديدات الإلكترونية بسرعة دون تعطيل أصول الأعمال المهمة. www.forescout.com
إدارة المخاطر الإلكترونية معًا