Исследователи безопасности предупреждают о недостатках стека TCP / IP в операционных технологических устройствах

Исследователи безопасности предупреждают о недостатках стека TCP / IP в операционных технологических устройствах

Источник · Перевод автора

Уязвимости в протоколах связи, используемых промышленными системами управления, могут позволить злоумышленникам вмешиваться или нарушать работу служб, а также получать доступ к данным в сети.

Названный INFRA: HALT, набор из 14 уязвимостей безопасности был подробно описан исследователями кибербезопасности из Forescout Research Labs и JFrog Security Research, которые предупреждают, что, если их не проверить, уязвимости могут сделать возможным удаленное выполнение кода, отказ в обслуживании или даже утечку информации.

Все уязвимости относятся к стекам TCP / IP – протоколам связи, обычно используемым в подключенных устройствах – в NicheStack, используемых во всех операционных технологиях (OT) и промышленной инфраструктуре.

Некоторым из недавно обнаруженных уязвимостей более 20 лет, что является распространенной проблемой в операционных технологиях, которые все еще часто работают с протоколами, разработанными и произведенными много лет назад. Более 200 поставщиков, включая Siemens, используют библиотеки NicheStack, и пользователям рекомендуется применять исправления безопасности.

Forescout подробно описал каждую уязвимость в своем сообщении в блоге – они связаны с искаженными пакетными процессами, которые позволяют злоумышленнику отправлять инструкции для чтения или записи в части памяти, которые он не должен. Это может привести к сбою устройства и нарушению работы сети, а также позволит злоумышленникам создать код оболочки для выполнения вредоносных действий, включая получение контроля над устройством.

Раскрытие недавно обнаруженных уязвимостей является продолжением проекта Memoria, исследовательской инициативы Forescout, посвященной изучению уязвимостей в стеках TCP / IP и способов их устранения. Уязвимости INFRA: HALT были обнаружены в результате продолжающегося исследования.

Все версии NicheStack до версии 4.3, включая NicheLite, подвержены уязвимостям, о которых сообщила компания HCC Embedded, которая приобрела NicheStack в 2016 году.

Полный объем уязвимых OT-устройств неизвестен, но исследователи смогли идентифицировать более 6400 уязвимых устройств с помощью Shodan, поисковой системы Интернета вещей.

«Когда вы имеете дело с операционными технологиями, сбой устройств и сбоев систем может иметь различные серьезные последствия. В них также есть возможности удаленного выполнения кода, уязвимости, которые позволят злоумышленнику получить контроль над устройством, а не только сбой», – сказал ZDNet Даниэль душ Сантуш (Daniel dos Santos), менеджер по исследованиям в исследовательских лабораториях Forescout.

Для удаленного выполнения кода злоумышленникам потребуется детальное знание систем, но сбой устройства – грубый инструмент, который проще в использовании и который может иметь серьезные последствия, особенно если устройства помогают контролировать или отслеживать критически важную инфраструктуру.

Forescout и JFrog Security Research связались с HCC Embedded, чтобы раскрыть уязвимости, а также связаться с CERT в рамках скоординированного процесса раскрытия уязвимостей. HCC Embedded подтвердила, что Forescout связался с ними по поводу уязвимостей и что были выпущены исправления для их устранения.

«Мы исправляли эти уязвимости в течение последних шести месяцев или около того, и мы выпустили исправления для каждого клиента, обслуживающего их программное обеспечение», – сказал ZDNet Дэйв Хьюз (Dave Hughes), генеральный директор HCC Embedded, добавив, что если среда настроена правильно, маловероятно, что злоумышленники может установить код или взять под контроль устройства.

«Это настоящие уязвимости, это слабые места в стеке. Однако большинство из них чрезвычайно зависят от того, как вы используете программное обеспечение и как вы его интегрируете, и сможете ли вы испытать эти вещи.

«Если у них есть отдел безопасности, который разбирается в отравлении DNS и тому подобном, то они вообще не будут уязвимы, потому что они настроили все безопасным образом», – сказал Хьюз.

Исследователи также связались с координационными агентствами, включая Координационный центр CERT, BSI (Федеральное управление кибербезопасности Германии) и ICS-CERT (Группа реагирования на кибернетические чрезвычайные ситуации промышленных систем управления) по поводу уязвимостей. Компания Siemens также выпустила уведомление об уязвимостях, хотя только четыре из них затрагивают продукты Siemens.

Чтобы помочь защитить операционные технологии от любых кибератак, исследователи Forescout рекомендуют использовать сегментацию сети, чтобы операционные технологии, которые не нужно открывать для доступа в Интернет, не могли быть обнаружены удаленно – и технологии, которые этого не делают. Нет необходимости подключаться к Интернету, он находится в отдельной сети с воздушным зазором.

Forescout выпустил скрипт с открытым исходным кодом для обнаружения устройств, на которых запущен NicheStack, чтобы обеспечить видимость сетей и защитить их.