Cybersecurity -selskap Nozomi Networks Labs har advart sikkerhetssamfunnet for industrielt kontrollsystem (ICS) om fem sårbarheter som påvirker Mitsubishis sikkerhets -PLSer.
I en ny rapport sa selskapet Mitsubishi erkjente problemene – som er fokusert på autentiseringsimplementeringen av MELSOFT -kommunikasjonsprotokollen – etter at de ble oppdaget i slutten av 2020.
Den japanske produksjonsgiganten har utviklet en strategi for å fikse problemene, men Nozomi Networks Labs sa at programvareoppdateringer for sikkerhets -PLSer eller medisinsk utstyr ofte tar lengre tid å distribuere enn andre programvareprodukter. Leverandører må gå gjennom spesifikke sertifiseringsprosesser før oppdateringer kan slippes, forklarte rapporten.
“Avhengig av enhetstype og regelverk kan sertifiseringsprosedyren være nødvendig for hver enkelt programvareoppdatering,” skrev forskere fra Nozomi Networks Labs.
“Mens vi ventet på at oppdaterings- og distribusjonsprosessen for oppdateringen skulle være fullført, distribuerte vi deteksjonslogikk for kundene i vår Threat Intelligence -tjeneste. Samtidig begynte vi å forske på mer generelle deteksjonsstrategier for å dele med eiendelseiere og ICS -sikkerhetssamfunnet generelt . “
Forskerne bemerket at sårbarhetene de fant “sannsynlig” påvirker mer enn én leverandør og sa at de var bekymret for at “eiendelseiere kan være altfor avhengige av sikkerheten til autentiseringsordningene som er boltet på OT -protokoller, uten å vite de tekniske detaljene og feilmodellene av disse implementeringene. “
Sikkerhetsselskapet avslørte den første gruppen med sårbarheter gjennom ICS-CERT i januar 2021 og en ny batch mer nylig, men oppdateringer er fortsatt ikke tilgjengelige.
Mitsubishi har lansert en rekke avbøtninger, og Nozomi Networks Labs oppfordret kundene til å vurdere sikkerhetsstillingen deres i lys av rådene.
Rapporten utelater spesielt tekniske detaljer eller bevis på konseptdokumenter i et forsøk på å beskytte systemer som fremdeles er sikret.
Forskere oppdaget sårbarhetene mens de forsket på MELSOFT, som brukes som en kommunikasjonsprotokoll av Mitsubishi -sikkerhets -PLSer og tilsvarende ingeniørarbeidsstasjonsprogramvare GX Works3.
De fant ut at autentisering med MELSOFT over TCP-port 5007 er implementert med et brukernavn/passord-par, som de sa er “effektivt brute-forceable” i noen tilfeller.
Teamet testet flere metoder som ga dem tilgang til systemer og fant ut at det til og med er tilfeller der angriperne kan gjenbruke økttokener som er generert etter vellykket autentisering.
“En angriper som kan lese en enkelt privilegert kommando som inneholder et økttoken er i stand til å gjenbruke dette tokenet fra en annen IP etter at det er generert, i et vindu på noen få timer, “heter det i rapporten.
“Hvis vi kobler sammen noen av de identifiserte sårbarhetene, dukker det opp flere angrepsscenarier. Det er viktig å forstå denne tilnærmingen ettersom virkelige verdensangrep ofte utføres ved å utnytte flere sårbarheter for å nå det endelige målet.”
Når en angriper får tilgang til et system, kan de iverksette tiltak for å låse andre brukere ute, og tvinge det siste alternativet til fysisk å slå av PLS for å forhindre ytterligere skade.
Nozomi Networks Labs foreslo at eierne beskytter koblingen mellom den tekniske arbeidsstasjonen og PLS slik at en angriper ikke får tilgang til MELSOFT -godkjenning eller godkjente pakker i klartekst.
De foreslår også å beskytte tilgang til PLS slik at en angriper ikke aktivt kan utveksle autentiseringspakker med PLS.
Sikkerhet
Kaseya ransomware -angrep: Det du trenger å vite Surfshark VPN -anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
IT-prioriteringer Sikkerhet TV Datahåndtering CXO datasentre 