Cyberbeveiligingsbedrijf Nozomi Networks Labs heeft de beveiligingsgemeenschap van industriële controlesystemen (ICS) gewaarschuwd voor vijf kwetsbaarheden die de veiligheids-PLC's van Mitsubishi beïnvloeden.
In een nieuw rapport zei het bedrijf Mitsubishi erkende de problemen – die gericht zijn op de authenticatie-implementatie van het MELSOFT-communicatieprotocol – nadat ze eind 2020 werden ontdekt.
De Japanse productiegigant heeft een strategie bedacht om de problemen op te lossen, maar Nozomi Networks Labs zei dat software-updates voor veiligheids-PLC's of medische apparaten vaak langer duren om te implementeren dan andere softwareproducten. Leveranciers moeten specifieke certificeringsprocessen doorlopen voordat patches kunnen worden vrijgegeven, aldus het rapport.
“Afhankelijk van het type apparaat en het regelgevingskader, kan de certificeringsprocedure vereist zijn voor elke afzonderlijke software-update”, schreven de onderzoekers van Nozomi Networks Labs.
“Terwijl we wachtten tot het ontwikkeling- en implementatieproces van de patch was voltooid, hebben we detectielogica geïmplementeerd voor klanten van onze Threat Intelligence-service. Tegelijkertijd zijn we begonnen met het onderzoeken van meer algemene detectiestrategieën om te delen met asset-eigenaren en de ICS-beveiligingsgemeenschap in het algemeen .”
De onderzoekers merkten op dat de kwetsbaarheden die ze “waarschijnlijk” vonden van invloed zijn op meer dan één leverancier en zeiden dat ze bezorgd waren dat “activa-eigenaren te afhankelijk zouden kunnen zijn van de beveiliging van de authenticatieschema's die op OT-protocollen zijn vastgeschroefd, zonder de technische details en de storingsmodellen te kennen. van deze implementaties.”
Het beveiligingsbedrijf maakte de eerste batch kwetsbaarheden bekend via ICS-CERT in januari 2021 en een andere batch recenter, maar patches zijn nog steeds niet beschikbaar.
Mitsubishi heeft een aantal maatregelen genomen en Nozomi Networks Labs drong er bij klanten op aan hun beveiligingshouding te beoordelen in het licht van de adviezen.
Het rapport laat specifiek technische details of proof-of-concept-documenten weg om systemen te beschermen die nog steeds worden beveiligd.
Onderzoekers ontdekten de kwetsbaarheden tijdens onderzoek naar MELSOFT, dat wordt gebruikt als communicatieprotocol door Mitsubishi-veiligheids-PLC's en de bijbehorende technische werkstationsoftware GX Works3.
Ze ontdekten dat authenticatie met MELSOFT via TCP-poort 5007 is geïmplementeerd met een gebruikersnaam/wachtwoord-paar, waarvan ze zeiden dat ze in sommige gevallen “effectief bruut-forceerbaar” zijn.
Het team testte meerdere methoden die hen toegang gaven tot systemen en ontdekte dat er zelfs gevallen zijn waarin aanvallers sessietokens kunnen hergebruiken die zijn gegenereerd na succesvolle authenticatie.
“Een aanvaller die een enkele bevoorrechte opdracht kan lezen die een sessietoken bevat is in staat om dit token van een ander IP-adres opnieuw te gebruiken nadat het binnen een paar uur is gegenereerd”, aldus het rapport.
“Als we enkele van de geïdentificeerde kwetsbaarheden aan elkaar koppelen, ontstaan er verschillende aanvalsscenario's. Het is belangrijk om deze aanpak te begrijpen, aangezien aanvallen in de echte wereld vaak worden uitgevoerd door verschillende kwetsbaarheden te misbruiken om het uiteindelijke doel te bereiken.”
Zodra een aanvaller toegang krijgt tot een systeem, kan hij maatregelen nemen om andere gebruikers buiten te sluiten, waardoor de laatste wanhopige optie wordt geforceerd om de PLC fysiek uit te schakelen om verdere schade te voorkomen.
Nozomi Networks Labs stelde voor dat eigenaren van activa de koppeling tussen het technische werkstation en de PLC beschermen, zodat een aanvaller geen toegang kan krijgen tot de MELSOFT-authenticatie of geauthenticeerde pakketten in leesbare tekst.
Ze stellen ook voor om de toegang tot de PLC te beschermen, zodat een aanvaller niet actief authenticatiepakketten kan uitwisselen met de PLC.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN review: Het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
IT-prioriteiten Beveiliging TV-gegevensbeheer CXO-datacenters 