CISA advarer om uoprettede ICS-sårbarheder, der lurer i kritisk infrastruktur

Det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed (CISA) udsendte i denne uge meddelelser om i alt 49 sårbarheder i otte industrielle kontrolsystemer (ICS), der bruges af organisationer i flere kritiske infrastruktursektorer - nogle upatched.

Behovet for, at organisationer i kritiske infrastruktursektorer overvejer cybersikkerhed, vokser. ICS og driftsteknologi (OT) miljøer er ikke længere luftgappede, segmenterede, som de engang plejede at være, og er i stigende grad tilgængelige via internettet. Resultatet er, at begge dele ICS- og OT-netværk er blevet stadig mere populære mål for både nationalstatslige aktører og økonomisk motiverede trusselsgrupper.

Det er uheldigt i betragtning af, at mange af sårbarhederne i CISA's rådgivning kan fjernudnyttes, involverer lav angrebskompleksitet og giver angribere mulighed for at tage kontrol over berørte systemer, manipulere og ændre indstillinger, eskalere privilegier, omgå sikkerhedskontrol, stjæle data og crashe systemer. De alvorlige sårbarheder er til stede i produkter fra Siemens, Rockwell Automation, Hitachi, Delta Electronics, Keysight og VISAM.

 CISA rådgivende faldt sammen med en rapport fra EU om trusler mod transportsektoren, der også advarede om potentialet for ransomware-angreb på OT-systemer, der bruges af luftfart, søfarts-, jernbane- og vejtransportagenturer. I det mindste nogle af de sårbare systemer i CISA's rådgivning vedrører også organisationer i transportsektoren.

Sårbarheder med lav kompleksitet og høj indvirkning

Syv af de 49 sårbarheder i CISA's rådgivning er inde Siemens' RUGGEDCOM APE1808 teknologi og har i øjeblikket ingen løsning. Sårbarhederne giver en angriber mulighed for at øge privilegier på et kompromitteret system eller at gå ned. Organisationer i adskillige kritiske infrastruktursektorer over hele kloden bruger i øjeblikket produktet til at hoste kommercielle applikationer.

Sytten andre fejl er til stede i forskellige tredjepartskomponenter, der er integreret i Siemens' Scalance W-700 enheder. Organisationer i flere kritiske infrastruktursektorer bruger produktet, herunder dem inden for kemikalier, energi, fødevarer og landbrug og fremstilling. Siemens har opfordret organisationer, der bruger produktet, til at opdatere dets software til v2.0 eller nyere og implementere kontroller til beskyttelse af netværksadgang til enhederne.

Tretten af ​​de nyligt afslørede sårbarheder påvirker Delta Electronic' InfraSuite Device Master, en teknologi, som organisationer i energisektoren bruger til at overvåge sundheden for kritiske systemer. Angribere kan udnytte sårbarhederne til at udløse lammelsesangreb eller til at stjæle følsomme data, der kan være nyttige i et fremtidigt angreb.

Andre leverandører i CISA's rådgivning med flere sårbarheder i deres produkter er Visam, hvis Vbase Automation teknologi stod for syv fejl og Rockwell Automaton med tre fejl i deres ThinManager-produkt, der bruges i den kritiske fremstillingssektor. Keysight havde en sårbarhed i sin Keysight N6845A Geolocation Server for kommunikations- og statslige organisationer og Hitachi opdaterede oplysninger om en tidligere kendt sårbarhed i sin Energy GMS600, PWC600 og Relion produkter.

Det er anden gang i de seneste uger, hvor CISA har advaret organisationer i kritiske infrastruktursektorer om alvorlige sårbarheder i systemer, de bruger i industrielle og operationelle teknologimiljøer. I januar udsendte styrelsen en lignende advarsel vedr sårbarheder i produkter fra 12 ICS-leverandører, herunder Siemens, Hitachi, Johnson Controls, Panasonic og Sewio. Som med det nuværende sæt af fejl, tillod mange af sårbarhederne i den tidligere rådgivning også trusselsaktører at overtage systemer, eskalere privilegier og skabe anden kaos i ICS- og OT-indstillinger.

OT-systemer i trådkorset

I mellemtiden en rapport i denne uge fra Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) om cybertrusler mod transportsektoren advaret om potentielle ransomware-angreb mod OT-systemer baseret på en analyse af 98 offentligt rapporterede hændelser i EU's transportsektor mellem januar 2021 og oktober 2022. 

Analysen viste, at økonomisk motiverede cyberkriminelle var ansvarlige for omkring 47 % af angrebene. En flerhed af disse angreb (38%) var ransomware-relateret. Andre almindelige motiver omfattede driftsforstyrrelser, spionage og ideologiske angreb fra hacktivistiske grupper.

Selvom OT-systemer nogle gange blev sideløbende beskadiget i disse angreb, fandt ENISA's forskere ingen beviser for rettede angreb på dem i de 98 hændelser, den analyserede. "De eneste tilfælde, hvor OT-systemer og netværk blev påvirket, var enten når hele netværk blev påvirket, eller når sikkerhedskritiske it-systemer var utilgængelige," hedder det i ENISA-rapporten. Det forventer styrelsen dog vil ændre sig. "Ransomware-grupper vil sandsynligvis målrette mod og forstyrre OT-operationer i en overskuelig fremtid."

Det europæiske cybersikkerhedsagenturs rapport pegede på en tidligere ENISA-analyse der advarede om ransomware-aktører og andre nye trusselsgrupper sporet som Kostovite, Petrovite og Erythrite rettet mod ICS- og OT-systemer og -netværk. Rapporten fremhævede også den fortsatte udvikling af ICS-specifik malware såsom Industroyer, BlackEnergy, CrashOverride og InController som tegn på voksende angriberinteresse i ICS-miljøer.

"Generelt er modstandere villige til at dedikere tid og ressourcer til at kompromittere deres mål for at høste information på OT-netværkene til fremtidige formål," hedder det i ENISA-rapporten. "I øjeblikket prioriterer de fleste modstandere i dette rum forudpositionering og informationsindsamling frem for disruption som strategiske mål."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/vulnerabilities-threats/cisa-warns-unpatched-vulnerabilities-ics-critical-infrastructure