Ernstige kwetsbaarheden gevonden in OT-systemen

56 kwetsbaarheden – waarvan sommigen als kritiek worden beschouwd – zijn gevonden in systemen voor industriële operationele technologie (OT) van tien wereldwijd actieve fabrikanten. Daaronder Honeywell, Ericsson, Motorola en Siemens. Ruim 30.000 soorten devices zijn wereldwijd in gevaar, zo blijkt uit een onderzoek van de Amerikaanse cybersecurity-toezichthouder CISA (Cybersecurity & Infrastructure Security Agency) en particuliere beveiligingsonderzoekers.

Sommige van de kwetsbaarheden kregen CVSS-scores van wel 9,8 op 10. Dat is bijzonder slecht, zo schrijft The Register, omdat apparaten die deze kwetsbaarheden bevatten, worden gebruikt in kritieke infrastructuur in de olie- en gasinfrastructuur, chemie, kernenergie, energieopwekking en -distributie, productie, waterbehandeling en distributie, mijnbouw en de bouw- en automatiseringsindustrie.

Ernstigste beveiligingsfouten

De ernstigste beveiligingsfouten zijn onder meer de uitvoering van externe code (RCE) en kwetsbaarheden in de firmware. Als deze kwetsbaarheden worden misbruikt, kunnen cybercriminelen bijvoorbeeld in de meest extreme gevallen elektrische en watersystemen uitschakelen of de voedselvoorziening verstoren.

Forescout's Vedere Labs ontdekte als eerste de kwetsbaarheden in devices van tien leveranciers die in gebruik zijn bij het klantenbestand van het beveiligingsbedrijf. Volgens de onderzoekers treffen de kwetsbaarheden ten minste 324 organisaties wereldwijd. Waarschijnlijk zijn dit er veel meer, aangezien Forescout alleen inzicht heeft in de OT-apparaten van zijn eigen klanten. Behalve bij eerdergenoemde fabrikanten vonden de onderzoekers gebreken in producten van Bently Nevada, Emerson, JTEKT, Omron, Phoenix Contact en Yokogawa.

Veel van de gevonden kwetsbaarheden zijn het resultaat van de zogenaamde 'onveilige door ontwerp'-constructie van OT-producten, vertelde Forescout's hoofd van beveiligingsonderzoek Daniel dos Santos aan The Register. Verschillende OT-apparaten bevatten geen elementaire beveiligingscontroles, waardoor ze gemakkelijker kunnen worden misbruikt door aanvallers, legde hij uit.

Compromitteren controlesystemen

Sommige van de kwetsbaarheden die door Forescout worden beschreven, zijn ook al gebruikt om industriële controlesystemen te compromitteren. Bijvoorbeeld CVE-2022-31206 – een RCE die invloed heeft op Omron NJ/NX-controllers, het doelwit van Incontroller, een vermoedelijk door de staat gesponsorde malwaretool.

"Een voorbeeld van onveilige ontwerpen van firmaware voor OT-devices zijn niet-geverifieerde protocollen", aldusdos Santos. "Wanneer je met het apparaat communiceert, kun je gevoelige functies op het apparaat oproepen, deze functie direct aanroepen zonder dat er om een wachtwoord wordt gevraagd."

Meer dan een derde van de 56 kwetsbaarheden (38%) kan worden misbruikt om de inloggegevens van gebruikers te compromitteren, terwijl 21 procent, indien misbruikt, het mogelijk maakt firmware te manipuleren. 14 procent zijn RCE's.

De onderzoekers stellen dat het patchen van deze beveiligingsproblemen niet eenvoudig zal zijn - ofwel omdat ze het gevolg zijn van onveilige OT-producten door het ontwerp, ofwel omdat ze wijzigingen in de apparaatfirmware en ondersteunde protocollen vereisen. "Realistisch gezien zal dat proces erg lang duren", schrijven ze.