Das Cybersicherheitsunternehmen Nozomi Networks Labs hat die Sicherheits-Community für industrielle Steuerungssysteme (ICS) vor fünf Schwachstellen gewarnt, die die Sicherheits-SPS von Mitsubishi betreffen.
In einem neuen Bericht sagte das Unternehmen, dass Mitsubishi erkannte die Probleme an, die sich auf die Authentifizierungsimplementierung des MELSOFT-Kommunikationsprotokolls konzentrieren, nachdem sie Ende 2020 entdeckt wurden.
Der japanische Fertigungsriese hat eine Strategie entwickelt, um die Probleme zu beheben, aber Nozomi Networks Labs sagte, dass Software-Updates für Sicherheits-SPS oder medizinische Geräte oft länger dauern als andere Softwareprodukte. Anbieter müssen bestimmte Zertifizierungsprozesse durchlaufen, bevor Patches veröffentlicht werden können, erklärt der Bericht.
“Je nach Gerätetyp und regulatorischem Rahmen kann das Zertifizierungsverfahren für jedes einzelne Software-Update erforderlich sein”, schreiben die Forscher von Nozomi Networks Labs.
„Während wir auf den Abschluss des Patch-Entwicklungs- und Bereitstellungsprozesses warteten, stellten wir Erkennungslogik für Kunden unseres Threat Intelligence-Dienstes bereit. Gleichzeitig begannen wir damit, allgemeinere Erkennungsstrategien zu erforschen, um sie mit Asset-Eigentümern und der ICS-Sicherheitsgemeinschaft insgesamt zu teilen .”
Die Forscher stellten fest, dass die von ihnen als „wahrscheinlich“ festgestellten Schwachstellen mehr als einen Anbieter betreffen, und äußerten die Sorge, dass „die Eigentümer von Vermögenswerten übermäßig auf die Sicherheit der Authentifizierungsschemata angewiesen sein könnten, die an OT-Protokolle geknüpft sind, ohne die technischen Details und die Fehlermodelle zu kennen“. dieser Implementierungen.”
Das Sicherheitsunternehmen hat im Januar 2021 den ersten Stapel von Sicherheitslücken über ICS-CERT und einen weiteren Stapel kürzlich veröffentlicht, aber Patches sind immer noch nicht verfügbar.
Mitsubishi hat eine Reihe von Schutzmaßnahmen veröffentlicht und Nozomi Networks Labs forderte die Kunden auf, ihre Sicherheitslage im Lichte der Hinweise zu bewerten.
Der Bericht lässt ausdrücklich technische Details oder Proof-of-Concept-Dokumente aus, um noch gesicherte Systeme zu schützen.
Forscher entdeckten die Schwachstellen bei der Untersuchung von MELSOFT, das als Kommunikationsprotokoll von Mitsubishi-Sicherheits-SPS und der entsprechenden Engineering-Workstation-Software GX Works3 verwendet wird.
Sie fanden heraus, dass die Authentifizierung mit MELSOFT über den TCP-Port 5007 mit einem Benutzernamen/Passwort-Paar implementiert wird, das in einigen Fällen “effektiv brutal erzwungen werden kann”.
Das Team testete mehrere Methoden, die ihnen Zugriff auf Systeme ermöglichten, und stellte fest, dass es sogar Fälle gibt, in denen Angreifer nach erfolgreicher Authentifizierung generierte Sitzungstoken wiederverwenden können.
“Ein Angreifer, der einen einzelnen privilegierten Befehl lesen kann, der ein Sitzungstoken enthält ist in der Lage, dieses Token von einer anderen IP aus wiederzuverwenden, nachdem es innerhalb weniger Stunden generiert wurde”, heißt es in dem Bericht.
„Wenn wir einige der identifizierten Schwachstellen miteinander verketten, entstehen mehrere Angriffsszenarien. Es ist wichtig, diesen Ansatz zu verstehen, da Angriffe in der realen Welt oft unter Ausnutzung mehrerer Schwachstellen ausgeführt werden, um das Endziel zu erreichen.“
Sobald ein Angreifer Zugriff auf ein System erhält, kann er Maßnahmen ergreifen, um andere Benutzer auszusperren, und die letzte Option erzwingen, die SPS physisch herunterzufahren, um weiteren Schaden zu verhindern.
Nozomi Networks Labs schlug vor, dass Asset-Eigentümer die Verbindung zwischen der Engineering-Workstation und der SPS schützen, damit ein Angreifer nicht auf die MELSOFT-Authentifizierung oder authentifizierte Pakete im Klartext zugreifen kann.
Sie schlagen auch vor, den Zugriff auf die SPS zu schützen, damit ein Angreifer nicht aktiv Authentifizierungspakete mit der SPS austauschen kann.
Sicherheit
Kaseya-Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN-Rezension: Es ist billig, aber ist es gut? Die besten Browser für Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
IT-Prioritäten Sicherheit TV-Datenmanagement CXO-Rechenzentren 