Cybersikkerhedsfirma Nozomi Networks Labs har advaret sikkerhedsfællesskabet for industrielt kontrolsystem (ICS) om fem sårbarheder, der påvirker Mitsubishis sikkerhed PLC'er.
I en ny rapport sagde virksomheden, at Mitsubishi anerkendte problemerne – som er fokuseret på godkendelsesimplementeringen af MELSOFT -kommunikationsprotokollen – efter at de blev opdaget i slutningen af 2020.
Den japanske produktionsgigant har udtænkt en strategi til at reparere problemerne, men Nozomi Networks Labs sagde, at softwareopdateringer til sikkerheds -PLC'er eller medicinsk udstyr ofte tager længere tid at implementere end andre softwareprodukter. Leverandører skal gennemgå specifikke certificeringsprocesser, før patches kan frigives, forklarede rapporten.
“Afhængigt af enhedstypen og lovgivningsmæssige rammer kan certificeringsproceduren være påkrævet for hver enkelt softwareopdatering,” skrev forskere fra Nozomi Networks Labs.
“Mens vi ventede på, at patchudviklingen og implementeringsprocessen skulle blive afsluttet, implementerede vi detekteringslogik for vores Threat Intelligence -tjeneste. Samtidig begyndte vi at undersøge mere generelle detekteringsstrategier, som vi kunne dele med ejere og ICS -sikkerhedssamfundet generelt . “
Forskerne bemærkede, at de sårbarheder, de fandt “sandsynligvis”, påvirker mere end én leverandør og sagde, at de var bekymrede over, at “ejere af aktiver kunne være alt for afhængige af sikkerheden ved godkendelsesordninger, der er fastgjort til OT -protokoller, uden at kende de tekniske detaljer og fejlmodellerne af disse implementeringer. “
Sikkerhedsvirksomheden afslørede den første batch af sårbarheder gennem ICS-CERT i januar 2021 og en anden batch for nylig, men patches er stadig ikke tilgængelige.
Mitsubishi har frigivet en række afbødninger, og Nozomi Networks Labs opfordrede kunderne til at vurdere deres sikkerhedsstilling i lyset af rådene.
Rapporten udelader specifikt tekniske detaljer eller bevis på konceptdokumenter i et forsøg på at beskytte systemer, der stadig sikres.
Forskere opdagede sårbarhederne, mens de undersøgte MELSOFT, der bruges som kommunikationsprotokol af Mitsubishi -sikkerheds -PLC'er og tilhørende engineering -arbejdsstationssoftware GX Works3.
De fandt ud af, at godkendelse med MELSOFT over TCP-port 5007 er implementeret med et brugernavn/kodeordspar, som de i nogle tilfælde sagde “effektivt brutalt tvangsfuldt”.
Teamet testede flere metoder, der gav dem adgang til systemer og fandt ud af, at der endda er tilfælde, hvor angribere kan genbruge sessionstokener, der er genereret efter vellykket godkendelse.
“En angriber, der kan læse en enkelt privilegeret kommando, der indeholder et sessionstoken er i stand til at genbruge dette token fra en anden IP, efter at det er blevet genereret inden for et vindue på et par timer, “hedder det i rapporten.
“Hvis vi kæder nogle af de identificerede sårbarheder sammen, dukker flere angrebsscenarier op. Det er vigtigt at forstå denne tilgang, da virkelige verdensangreb ofte udføres ved at udnytte flere sårbarheder for at nå det endelige mål.”
Når en angriber får adgang til et system, kan de derefter træffe foranstaltninger for at låse andre brugere ude og tvinge den sidste mulighed til fysisk at lukke PLC'en for at forhindre yderligere skade.
Nozomi Networks Labs foreslog aktivejere at beskytte forbindelsen mellem ingeniørarbejdsstationen og PLC'en, så en angriber ikke kan få adgang til MELSOFT -godkendelse eller godkendte pakker i klar tekst.
De foreslår også at beskytte adgangen til PLC, så en angriber ikke aktivt kan udveksle godkendelsespakker med PLC.
Sikkerhed
Kaseya ransomware -angreb: Hvad du har brug for at vide Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
IT-prioriteter Sikkerhed TV-datastyring CXO-datacentre 