Cybersäkerhetsföretaget Nozomi Networks Labs har varnat säkerhetsgemenskapen för industriellt kontrollsystem (ICS) om fem sårbarheter som påverkar Mitsubishis säkerhets -PLC: er.
I en ny rapport sa företaget Mitsubishi erkände problemen – som är inriktade på autentiseringsimplementeringen av MELSOFT -kommunikationsprotokollet – efter att de upptäcktes i slutet av 2020.
Den japanska tillverkningsjätten har utarbetat en strategi för att korrigera problemen, men Nozomi Networks Labs sa att programuppdateringar för säkerhets -PLC: er eller medicinsk utrustning ofta tar längre tid att distribuera än andra programvaruprodukter. Leverantörer måste gå igenom specifika certifieringsprocesser innan patchar kan släppas, förklarade rapporten.
“Beroende på enhetstyp och regelverk kan certifieringsförfarandet krävas för varje enskild programuppdatering”, skrev forskare från Nozomi Networks Labs.
“I väntan på att lapputvecklingen och distributionsprocessen ska slutföras implementerade vi detekteringslogik för kunderna i vår Threat Intelligence -tjänst. Samtidigt började vi undersöka mer allmänna detekteringsstrategier att dela med tillgångsägare och ICS -säkerhetsgemenskapen i stort . “
Forskarna noterade att sårbarheterna som de fann “sannolikt” påverkar mer än en leverantör och sa att de var oroliga för att “tillgångsägare kan vara alltför beroende av säkerheten för autentiseringssystemen som är bultade på OT -protokoll, utan att känna till de tekniska detaljerna och misslyckande modellerna av dessa implementeringar. “
Säkerhetsföretaget avslöjade den första gruppen med sårbarheter genom ICS-CERT i januari 2021 och ytterligare en sats på senare tid, men patchar är fortfarande inte tillgängliga.
Mitsubishi har släppt ett antal begränsningar och Nozomi Networks Labs uppmanade kunderna att bedöma sin säkerhetsställning mot bakgrund av rådgivningen.
Rapporten lämnar specifikt ut tekniska detaljer eller bevis på konceptdokument i ett försök att skydda system som fortfarande skyddas.
Forskare upptäckte sårbarheterna medan de undersökte MELSOFT, som används som ett kommunikationsprotokoll av Mitsubishis säkerhets -PLC: er och motsvarande tekniska arbetsstationsprogramvara GX Works3.
De fann att autentisering med MELSOFT över TCP-port 5007 är implementerad med ett användarnamn/lösenordspar, som de sa är “effektivt brute-forceable” i vissa fall.
Teamet testade flera metoder som gav dem tillgång till system och fann att det även finns fall där angripare kan återanvända sessionstoken som genererats efter framgångsrik autentisering.
“En angripare som kan läsa ett enda privilegierat kommando som innehåller en sessionstoken kan återanvända denna token från en annan IP efter att den har genererats inom ett fönster på några timmar “, står det i rapporten.
“Om vi kedjar ihop några av de identifierade sårbarheterna dyker flera attackscenarier upp. Det är viktigt att förstå detta tillvägagångssätt då verkliga attacker ofta utförs genom att utnyttja flera sårbarheter för att uppnå det slutliga målet.”
När en angripare får åtkomst till ett system kan de vidta åtgärder för att låsa ut andra användare, vilket tvingar det sista alternativet att fysiskt stänga av PLC för att förhindra ytterligare skada.
Nozomi Networks Labs föreslog att tillgångsägare skyddar länken mellan den tekniska arbetsstationen och PLC så att en angripare inte kan komma åt MELSOFT -autentisering eller autentiserade paket i klartext.
De föreslår också att du skyddar åtkomsten till PLC så att en angripare inte aktivt kan utbyta autentiseringspaket med PLC.
Säkerhet
Kaseya ransomware -attack: Vad du behöver veta Surfshark VPN -granskning: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemmabruk De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
IT-prioriteringar Säkerhet TV-datahantering CXO-datacenter 