Wanneer industriële IoT-netwerken niet zijn gesegmenteerd, veroorzaken ze problemen Bekijk nu
Beveiligingskwetsbaarheden in de communicatieprotocollen die worden gebruikt door industriële controlesystemen kunnen cyberaanvallers in staat stellen te knoeien met services of deze te verstoren, en toegang te krijgen tot gegevens op het netwerk.
Nagesynchroniseerde INFRA:HALT, de set van 14 beveiligingskwetsbaarheden is gedetailleerd door cyberbeveiligingsonderzoekers van Forescout Research Labs en JFrog Security Research, die waarschuwen dat als ze niet worden aangevinkt, de fouten kunnen leiden tot uitvoering van externe code, ontkenning van service of zelfs informatielekken.
Alle kwetsbaarheden hebben betrekking op TCP/IP-stacks – communicatieprotocollen die vaak worden gebruikt in verbonden apparaten – in NicheStack, die wordt gebruikt in de operationele technologie (OT) en industriële infrastructuur.
Sommige van de nieuw ontdekte kwetsbaarheden zijn meer dan 20 jaar oud, een veelvoorkomend probleem in operationele technologie, die nog vaak draait op protocollen die jaren geleden zijn ontwikkeld en geproduceerd. Meer dan 200 leveranciers, waaronder Siemens, gebruiken de NicheStack-bibliotheken en gebruikers wordt aangeraden de beveiligingspatches toe te passen.
Forescout heeft elk van de kwetsbaarheden gedetailleerd beschreven in een blogpost. Ze houden verband met misvormde pakketprocessen waardoor een aanvaller instructies kan sturen om te lezen of te schrijven op delen van het geheugen die dat niet zou moeten doen. Dat kan het apparaat laten crashen en netwerken verstoren, en aanvallers toestaan om shell-code te maken om kwaadaardige acties uit te voeren, waaronder de controle over het apparaat.
De onthulling van de nieuw ontdekte kwetsbaarheden is de voortzetting van Project Memoria, het onderzoeksinitiatief van Forescout dat kwetsbaarheden in TCP/IP-stacks onderzoekt en hoe deze te verhelpen. De INFRA:HALT-kwetsbaarheden werden ontdekt vanwege het lopende onderzoek.
Alle versies van NicheStack vóór versie 4.3, inclusief NicheLite, worden getroffen door de kwetsbaarheden, die zijn bekendgemaakt aan HCC Embedded, dat NicheStack in 2016 heeft overgenomen.
ZIE: Gesenoriseerde onderneming: IoT, ML en big data (ZDNet speciaal rapport) | Download het rapport als pdf(TechRepublic)
De volledige omvang van kwetsbare OT-apparaten is onzeker, maar onderzoekers konden meer dan 6.400 kwetsbare apparaten identificeren met behulp van Shodan, de Internet of Things-zoekmachine motor.
“Als je te maken hebt met operationele technologie, is het crashen van apparaten en crashende systemen iets dat verschillende ernstige gevolgen kan hebben. Er zijn ook mogelijkheden voor het uitvoeren van externe code in deze kwetsbaarheden waardoor de aanvaller de controle over een apparaat kan krijgen, en niet alleen crasht. maar laat het zich gedragen op een manier dat het niet bedoeld is of gebruikt om binnen het netwerk te draaien,” vertelde Daniel dos Santos, onderzoeksmanager bij Forescout research labs aan ZDNet.
Voor het uitvoeren van code op afstand zouden aanvallers om gedetailleerde kennis van de systemen te hebben, maar het crashen van het apparaat is een bot instrument dat gemakkelijker te gebruiken is en dat aanzienlijke gevolgen kan hebben, vooral als de apparaten helpen bij het besturen of bewaken van kritieke infrastructuur.
Forescout en JFrog Security Research hebben contact opgenomen met HCC Embedded om de kwetsbaarheden bekend te maken, evenals met CERT als onderdeel van het gecoördineerde openbaarmakingsproces van kwetsbaarheden. HCC Embedded heeft bevestigd dat Forescout contact met hen heeft opgenomen over de kwetsbaarheden en dat er patches zijn uitgebracht om deze te verhelpen.
“We hebben deze kwetsbaarheden de afgelopen zes maanden opgelost en we hebben fixes uitgebracht voor elke klant die hun software onderhoudt”, vertelde Dave Hughes, CEO van HCC Embedded aan ZDNet, eraan toevoegend dat als omgevingen correct zijn geconfigureerd, het onwaarschijnlijk is dat aanvallers kan code planten of de controle over apparaten overnemen.
“Dit zijn echte kwetsbaarheden, het zijn zwakke punten in de stack. De meeste zijn echter extreem afhankelijk van hoe je de software gebruikt en hoe je deze integreert of je deze dingen kunt ervaren.
” p>
“Als ze een beveiligingsafdeling hebben die DNS-vergiftiging en dat soort dingen begrijpt, zullen ze helemaal niet kwetsbaar zijn omdat ze dingen op een veilige manier hebben geconfigureerd”, zei Hughes.
Onderzoekers hebben ook contact opgenomen met coördinatiebureaus, waaronder het CERT-coördinatiecentrum, BSI (de Duitse federale cyberbeveiligingsautoriteit) en ICS-CERT (het Industrial Control Systems Cyber Emergency Response Team) over de kwetsbaarheden. Siemens heeft ook een advies uitgebracht over de kwetsbaarheden, hoewel slechts vier van de kwetsbaarheden betrekking hebben op Siemens-producten.
Om operationele technologie te helpen beschermen tegen elke vorm van cyberaanvallen, raden onderzoekers van Forescout aan om netwerksegmentatie in te voeren, zodat operationele technologie die niet aan internet hoeft te worden blootgesteld niet op afstand kan worden ontdekt – en technologie die dat wel doet' Het is helemaal niet nodig om verbonden te zijn met internet op een apart, air-gapped netwerk.
Forescout heeft een open-sourcescript uitgebracht om apparaten met NicheStack te detecteren om zichtbaarheid op netwerken te bieden en ze te helpen beschermen.
MEER OVER CYBERVEILIGHEID
De sleutel tot het stoppen van cyberaanvallen? Inzicht in uw eigen systemen voordat de hackers toeslaanProductie wordt een belangrijk doelwit voor ransomware-aanvallenKolonial Pipeline-hack legt scheuren bloot in de Amerikaanse energieverdediging tegen cyberaanvallenRansomware bendes richten zich op 'soft target' industriële controlesystemenMITRE kondigt eerste evaluaties aan van cyberbeveiligingstools voor industriële controlesystemen
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-gegevens Centra 