Investigadores descobriram 56 falhas que afetam dispositivos de 10 fabricantes de tecnologia operacional (OT). Eles atribuíram a maioria dessas vulnerabilidades a problemas no projeto dos equipamentos e à negligência da indústria em relação ao gerenciamento de segurança e risco, que tem sido negligenciado há décadas.
Os problemas de segurança – detectados em softwares de empresas famosas, como Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa e até mesmo de um sem nome – variam no que diz respeito às suas características e o que eles permitem que os cibercriminosos executem, de acordo com a pesquisa do Vedere Labs da Forescout.
No entanto, geralmente, o “efeito de cada vulnerabilidade depende fortemente da função que cada dispositivo oferece”, de acordo com uma postagem a respeito das falhas publicada na terça-feira.
Os investigadores dividiram o tipo de defeito que identificaram nos produtos em quatro grupos principais: protocolos de engenharia inadequados; criptografia fraca ou métodos de autenticação fragilizados; atualizações de firmware desprotegidas; ou execução de código remoto por meio de recursos nativos.
Os agentes de ameaça podem explorar vulnerabilidades em um dispositivo afetado, realizando a execução de código remoto (RCE) em diferentes processadores e contextos; causando negação de serviço (DoS) que pode inutilizar o dispositivo ou limitar seu uso; manipulando arquivos, firmware e configurações, permitindo que os atacantes modifiquem características importantes do aparelho; e comprometendo credenciais que possibilitam autenticação e acesso.
Questão sistemática
Que as falhas – a que os investigadores apelidaram de OT:ICEFALL, uma referência ao Monte Everest e às empresas que fabricam os dispositivos de montanha têm de melhorar a segurança – existem em dispositivos essenciais para redes que geram infraestruturas críticas é, por si só, desagradável.
Embora 74% das linhas de produtos afetadas possuam alguma certificação de segurança, as falhas ainda ocorreram. Os pesquisadores descobriram que essas vulnerabilidades deveriam ter sido descobertas rapidamente durante o processo de verificação. No entanto, elas poderiam ter sido previamente evitadas.
Estes fornecedores de OT de passagem livre deram às mercadorias vulneráveis uma demonstração contínua de uma baixa atenção da indústria com relação à manutenção da segurança e do risco, o que os pesquisadores esperam alterar, iluminando o problema, eles expressaram.
Os pesquisadores escreveram no post que há uma grande variedade de problemas de segurança, desde designs vulneráveis em produtos certificados de segurança, até esforços ineficazes para se afastar desses problemas. O objetivo da pesquisa é mostrar como os sistemas proprietários e opacos, a gestão de risco não ideal e a falsa sensação de segurança decorrente das certificações tornam os esforços de gerenciamento de risco OT muito mais complicados.
O Paradoxo de Segurança afirma que, quanto maior a segurança, mais vulnerável se torna.
Os profissionais de segurança notaram o dilema da abordagem relaxada de fornecedores em uma área que cria sistemas que operam infraestruturas fundamentais, ameaças que podem ser desastrosas não somente para as redes onde os produtos residem, mas para o planeta inteiro.
É possível que seja equivocado presumir que os dispositivos de controle industrial e tecnologia operacional, que realizam alguns dos trabalhos mais importantes e delicados em ambientes críticos de infraestrutura, estejam entre os sistemas mais protegidos do planeta, mas na prática, isto costuma não ser o caso, de acordo com o e-mail enviado por Chris Clements, vice-presidente de soluções de arquitetura da Cerberus Sentinel, para o Threatpost.
De acordo com estudo realizado, “inúmeros dispositivos com estas funções têm mecanismos de segurança que são assustadoramente fáceis de serem contornados ou ignorados para que os invasores possam assumir o completo domínio do dispositivo”, afirmou.
Os resultados da pesquisa são outro indicador de que a área de tecnologia da informação está sofrendo de um estado de segurança cibernética em excesso. O primeiro passo é integrar a segurança de forma básica na produção, de acordo com Clements.
Os fabricantes de dispositivos de tecnologia que possuem sistemas sensíveis devem incorporar uma mentalidade de segurança cibernética que começa na fase inicial do projeto, e ainda que seja validado no produto final, explica-se.
Os gerentes de risco enfrentam desafios complexos ao administrar os riscos envolvidos na implementação de projetos e operações. Estes desafios incluem identificar, medir, gerenciar, controlar e mitigar os riscos. Além disso, eles têm de garantir que os riscos sejam tomados em consideração na tomada de decisões.
Os cientistas desenharam algumas explicações para os problemas envolvendo a segurança e o controle de riscos nos dispositivos OT e sugeriram que os fabricantes tomem medidas imediatas para corrigi-los.
A desigualdade em termos de funcionalidade entre dispositivos leva a grandes discrepâncias de segurança, tornando a detecção de problemas difícil. Por exemplo, ao investigar três caminhos principais de obter ganhos de execução remota em dispositivos de nível 1 usando suas funções nativas – downloads lógicos, atualizações de firmware e operações de leitura/escrita de memória -, os pesquisadores descobriram que cada tecnologia trata esses caminhos de forma diferente.
Nenhum dos sistemas examinou a assinatura lógica de assistência e mais da metade compilou sua lógica para o código de máquina nativo localizado. Além disso, 62% dos sistemas são capazes de baixar firmware por meio de Ethernet, enquanto somente 51% delas oferecem autenticação para essa funcionalidade.
Enquanto isso, às vezes, não foi o fabricante diretamente responsável pela segurança inerente do dispositivo, mas sim alguns componentes “projetados para serem inseguros” na cadeia de suprimentos, que cria ainda mais problemas ao gerir riscos para os fabricantes, de acordo com o que os pesquisadores descobriram.
As fragilidades dos componentes da cadeia de abastecimento de OT não são com frequência reveladas por cada fabricante afectado, o que torna mais árdua a gestão de riscos, afirmou.
Uma longa caminhada adiante
Com efeito, administrar o processo de controle de riscos em aparatos e sistemas de TIC e OT necessita de “uma linguagem de risco comum”, que é difícil de lograr com tantas divergências entre fabricantes e suas estratégias de segurança e produção dentro de uma indústria, segundo observação de Nick Sanna, CEO da RiskLens.
Para corrigir essa situação, ele propôs que os provedores avaliassem o risco de forma monetária, permitindo que gestores de risco e operadores de plantas definissem ações sobre “responder às vulnerabilidades – remendo, adicionando controles, aumentando o seguro – tudo com base em uma visão clara da exposição de perda para TI e ativos operacionais”.
Apesar de os fornecedores começarem a lidar com os principais desafios que geraram o cenário OT:ICEFALL, ainda resta um grande caminho a percorrer para solucionar o problema de segurança de modo amplo, de acordo com os pesquisadores da Forescout.
Para obter a proteção total de OT:ICEFALL, os fabricantes têm de tomar medidas para alterar o firmware do dispositivo e atualizar os protocolos suportados. Além disso, os proprietários de ativos também precisam aplicar os patches em suas redes. Infelizmente, esse processo pode levar muito tempo.
Por favor, dê uma olhada neste artigo e compartilhe-o.
- Vulnerabilidades de segurança são brechas na segurança que podem ser exploradas por invasores para comprometer a segurança do sistema.